1.2. Identity Management ドメイン

Identity Management (IdM) ドメインは、同じ設定、ポリシー、および ID ストアを共有するマシンのグループで構成されます。プロパティーを共有することで、ドメイン内のマシンは相互に認識可能となり、共同操作ができるようになります。
IdM の観点からは、ドメインには以下のタイプのマシンが含まれます。
  • IdM サーバー。ドメインコントローラーとして機能します。
  • IdM クライアント。これはサーバーに登録されます。
IdM サーバーは、IdM クライアントとしてサーバー自体に登録されます。サーバーマシンはクライアントと同等の機能を提供します。
IdM は、Red Hat Enterprise Linux マシンを IdM サーバーおよびクライアントとしてサポートします。

注記

本ガイドでは、Linux 環境における IdM の使用について説明しています。Active Directory との統合に関する詳細情報は、Windows 統合ガイド を参照してください。

1.2.1. Identity Management サーバー

IdM サーバーは、ID およびポリシー情報の中央リポジトリーとして機能します。また、ドメインメンバーが使用するサービスもホストします。IdM は、IdM Web UI やコマンドラインユーティリティーなど、IdM 関連サービスをすべて 1 カ所で管理するための管理ツールセットを提供します。
IdM サーバーのインストールについての情報は、2章Identity Management サーバーのインストールとアンインストール を参照してください。
冗長性と負荷分散をサポートするために、ある IdM サーバーからこのサーバーのレプリカと呼ばれる別のサーバーにデータや設定を複製することができます。サーバーやレプリカは、クライアントに異なるサービスを提供するように設定することが可能です。IdM レプリカについての詳細情報は、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

1.2.1.1. IdM サーバーでホストするサービス

以下のサービスのほとんどは、必ずしも IdM サーバー上にインストールする必要はありません。たとえば、認証局 (CA)、DNS サーバー、またはネットワークタイムプロトコル (NTP) サーバーなどのサービスは、IdM ドメイン外の外部サーバーにインストールすることができます。
Kerberos KDC
IdM は、Kerberos プロトコルを使ってシングルサインオンをサポートします。Kerberos を使用すると、ユーザーは正しいユーザー名とパスワードを 1 回提示するだけで済みます。この後は、システムが認証情報をプロンプトすることなく IdM サービスにアクセスできます。
LDAP ディレクトリーサーバー
IdM には内部の LDAP ディレクトリーサーバーが含まれており、ここには Kerberos 関連の情報、ユーザーアカウント、ホストエントリー、サービス、ポリシー、DNSなどの全 IdM 情報が保存されます。
LDAP ディレクトリーサーバーインスタンスは Red Hat Directory Server と同じテクノロジーをベースとしていますが、IdM 固有のタスクに調整されています。

注記

本ガイドでは、このコンポーネントを Directory Server と呼びます。
認証局
ほとんどのデプロイメントでは、統合済み認証局 (CA) が IdM サーバーとインストールされます。必要な証明書すべてを独自に作成し、提供する場合は、統合 CA なしでサーバーをインストールすることもできます。
  • 異なる CA 設定で IdM サーバーをインストールする詳細情報は、「CA 設定の決定」 を参照してください。

注記

本ガイドでは、実装の際にはこのコンポーネントを Certificate System と呼び、実装によるサービスに対応する際には証明局と呼びます。
スタンドアローンの Red Hat 製品 Red Hat Certificate System の詳細は、Product Documentation for Red Hat Certificate System を参照してください。
ドメインネームシステム (DNS)
IdM は、動的なサービス発見に DNS を使用します。IdM クライアントインストールユーティリティーは、DNS からの情報を使ってクライアントマシンを自動的に設定することができます。クライアントが IdM ドメインに登録されたら、DNS を使用してドメイン内の IdM サーバーとサービスを検索します。
ネットワークタイムプロトコルサーバー (NTP)
多くのサービスでは、特定の差異内でサーバーとクライアントが同一のシステムタイムを保持している必要があります。たとえば、Kerberos チケットはタイムスタンプを使ってその有効性を判断し、再生攻撃を防ぎます。サーバーとクライアントの時間の差異が許可された範囲内から逸脱すると、Kerberos チケットは無効になります。
デフォルトでは、IdM はネットワークタイムプロトコル (NTP) を使ってネットワークからクロックを同期します。NTP を使用すると、中央サーバーが権威クロックとして機能し、クライアントはこのサーバークロックに一致するようそれぞれの時間を同期します。サーバーのインストールプロセス中は、IdM サーバーは IdM ドメイン向けの NTP サーバーとして設定されます。

注記

仮想マシン上にインストールされた IdM サーバーで NTP サーバーを稼働すると、環境によっては時間が正確に同期されない場合があります。この潜在的な問題を避けるには、仮想マシン上にインストールされた IdM サーバーで NTP を実行しないでください。仮想マシン上における NTP サーバーの信頼性については、こちらのナレッジベースソリューションを参照してください。
Identity Management サーバーによるサービスの一元管理

図1.1 Identity Management サーバーによるサービスの一元管理

1.2.2. Identity Management クライアント

IdM クライアントは、IdM ドメイン内で稼働するように設定されたマシンです。IdM サーバーと対話して、ドメインのリソースにアクセスします。たとえば、クライアントがサーバー上で設定された Kerberos ドメインに属すると、サーバーが発行する証明書とチケットを受け取り、認証および承認のために他の集中化サービスを使用します。
IdM クライアントは、ドメインの一部として対話するために専用のクライアントソフトウェアを必要としません。必要になるのは、Kerberos や DNS などの特定サービスやライブラリーのシステム設定のみです。この設定で、クライアントマシンが IdM サービスを使用するように指示します。
IdM クライアントのインストールについての情報は、3章Identity Management クライアントのインストールおよびアンインストール を参照してください。

1.2.2.1. IdM クライアントがホストするサービス

System Security Services Daemon
System Security Services Daemon (SSSD) は、認証情報をキャッシュするクライアント側のアプリケーションです。クライアントマシンでの SSSD の使用は必須のクライアント設定を簡素化するので、推奨されます。SSSD は、以下のような機能も提供します。
  • オフラインでのクライアント認証。中央 ID および認証ストアからの認証情報をローカルでキャッシュすることでこれを実現します。
  • 認証プロセスの一貫性の改善。オフライン認証用に中央アカウントとローカルユーザーアカウントの両方を維持する必要がないため。
  • sudo のような他のサービスとの統合。
  • ホストベースのアクセス制御 (HBAC) 承認
SSSD を使用すると、IdM 管理者は IdM サーバーで一括してすべてのアイデンティティー設定を定義できるようになります。IdM サーバーが利用できなくなったりクライアントがオフラインになった場合には、キャッシュによりローカルシステムは通常の認証作業を継続できます。
SSSD についての詳細情報は、システムレベルの認証ガイド を参照してください。SSSD は Windows Active Directory (AD) にも対応しています。AD での SSSD の使用については、Windows 統合ガイド を参照してください。
certmonger
certmonger サービスは、クライアント上の証明書を監視、更新します。これはシステム上のサービス向けに新規の証明書をリクエストすることができます。
certmonger についての詳細情報は、システムレベルの認証ガイド を参照してください。
IdM サービス間の対話

図1.2 IdM サービス間の対話