Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.2. Identity Management ドメイン

Identity Management (IdM) ドメインは、同じ設定、ポリシー、およびアイデンティティーストアを共有するマシンのグループで設定されます。この共有プロパティーにより、ドメイン内のマシンは相互に認識、連携できます。
IdM の観点では、ドメインには以下のタイプのマシンが含まれます。
  • IdM サーバー。ドメインコントローラーとして動作する。
  • サーバーに登録されている IdM クライアント
IdM サーバーは、それ自体に登録している IdM クライアントでもあるため、サーバーマシンはクライアントと同じ機能を提供します。
IdM は、IdM サーバーおよびクライアントとしての Red Hat Enterprise Linux マシンに対応します。
注記
本ガイドでは、Linux 環境で IdM を使用する方法を説明します。Active Directory との統合に関する詳細は、Windows Integration Guideを参照してください。

1.2.1. Identity Management サーバー

IdM サーバーは、ID 情報およびポリシー情報の中央リポジトリーとして機能します。また、ドメインメンバーが使用するサービスをホストします。IdM は、IdM 関連の全サービスを一元的に管理する管理ツールを提供します (IdM Web UI およびコマンドラインユーティリティー)。
IdM サーバーのインストールの詳細は、2章Identity Management サーバーのインストールおよびアンインストール を参照してください。
冗長性と負荷分散をサポートするため、データと設定を IdM サーバーから別のサーバーに複製できます (初期サーバーの レプリカ)。サーバーとそのレプリカを設定して、各種サービスをクライアントに提供できます。IdM レプリカの詳細は、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

1.2.1.1. IdM サーバーがホストするサービス

以下のサービスの多くは、IdM サーバーへのインストールが必須というわけではありません。たとえば、認証局 (CA)、DNS サーバー、または Network Time Protocol (NTP) サーバーなどのサービスは、IdM ドメイン外の外部サーバーにインストールできます。
Kerberos: krb5kdc および kadmin
IdM は、シングルサインオンに対応する Kerberos プロトコルを使用します。Kerberos では、正しいユーザー名とパスワードを一度提示するだけで済み、システムから認証情報を再度求められることなく IdM サービスにアクセスできます。
  • Kerberos は 2 つの部分に分類されます。
    • krb5kdc サービス。Kerberos 認証サービスおよびキー配布センター (KDC) デーモンです。
    • kadmin サービス。Kerberos V5 データベース管理プログラムです。
    Kerberos の仕組みの詳細については、『システムレベルの認証ガイド』 のKerberos の使用を参照してください。
  • IdM で Kerberos を使用して認証する方法は、「Kerberos を使用した IdM へのログイン」 を参照してください。
  • IdM で Kerberos を管理する方法は、29章Kerberos ドメインの管理 を参照してください。
LDAP ディレクトリーサーバー: dirsrv
IdM の内部 LDAP ディレクトリーサーバー インスタンスは、 Kerberos、ユーザーアカウント、ホストエントリー、サービス、ポリシー、DNS などの情報をはじめとした、IdM 情報をすべて保存します。
LDAP ディレクトリーサーバーインスタンスは、Red Hat Directory Server と同じテクノロジーをベースにしています。ただし、IdM 固有のタスクに合わせて調整されます。
注記
本ガイドでは、このコンポーネントを Directory Server と呼びます。
認証局: pki-tomcatd
統合 認証局 (CA) は、Red Hat Certificate System と同じテクノロジーをベースにしています。pki は、証明書システムサービスにアクセスするコマンドラインインターフェイスです。
注記
本書では、実装について言及するときはこのコンポーネントを証明書システムと、実装が提供するサービスを言及するときは証明局と呼びます。
Red Hat Certificate System、スタンドアロン Red Hat 製品の詳細は、Product Documentation for Red Hat Certificate Systemを参照してください。
DNS (Domain Name System): 名前
IdM は、動的サービス検出に DNS を使用します。IdM クライアントのインストールユーティリティーは、DNS からの情報を使用して、クライアントマシンを自動的に設定できます。クライアントを IdM ドメインに登録したら、クライアントは DNS を使用してドメイン内の IdM サーバーおよびサービスを検索します。
Red Hat Enterprise Linux の DNS (Domain Name System) プロトコルの BIND (Berkeley Internet Name Domain) 実装には、名前付き の DNS サーバーが含まれています。named-pkcs11 は、PKCS#11 暗号化標準に対するネイティブサポートありで構築された BIND DNS サーバーのバージョンです。
ネットワークタイムプロトコル: ntpd
多くのサービスでは、特定の差異内でサーバーとクライアントが同一のシステムタイムを保持している必要があります。たとえば、Kerberos チケットはタイムスタンプを使用して有効性を判断し、リプレイ攻撃を防ぎます。サーバーとクライアントの時間の差異が許可された範囲内から逸脱すると、Kerberos チケットは無効になります。
デフォルトでは、IdM は Network Time Protocol (NTP) を使用し、ntpd サービスを介してネットワークでクロックを同期します。NTP では、中央サーバーが権威クロックとして機能し、クライアントはサーバークロックと同じ時刻を使用するように同期します。IdM サーバーは、サーバーのインストールプロセス時に IdM ドメインの NTP サーバーとして設定されます。
注記
仮想マシンにインストールされる IdM サーバーで NTP サーバーを実行すると、一部の環境で時間同期が不正確になることがあります。問題が発生する可能性を回避するには、仮想マシンにインストールされている IdM サーバーで NTP を実行しないでください。仮想マシンで NTP サーバーの信頼性に関する詳細は、こちらのナレッジベースソリューションを参照してください。
Apache HTTP Server: httpd
Apache HTTP Web サーバー には、IdM Web UI があり、認証局とその他の IdM サービスの間の通信も管理します。
Samba / Winbind: smbwinbind
Samba は、Red Hat Enterprise Linux に、Common Internet File System (CIFS) プロトコルとも呼ばれる Server Message Block (SMB) プロトコルを実装します。smb サービス経由で SMB プロトコルを使用すると、ファイル共有や共有プリンターなどのサーバーのリソースにアクセスできます。Active Directory (AD) 環境で信頼を設定している場合には、Winbind サービスが IdM サーバーと AD サーバー間の通信を管理します。
  • 詳細は、『System Administrator's Guide』のSambaを参照してください。
  • 詳細は、『System-Level Authentication Guide』のWinbindを参照してください。
ワンタイムパスワード (OTP) 認証: ipa-otpd
ワンタイムパスワード (OTP) は、2 要素認証の一部として、認証トークンがセッション 1 回だけ使用できるように生成するパスワードです。OTP 認証は、ipa-otpd サービスを介して Red Hat Enterprise Linux に実装されています。
custodia: ipa-custodia
Custodia はシークレットサービスプロバイダーで、パスワード、キー、トークン、証明書などのシークレット資料へのアクセスを保存し、共有します。
OpenDNSSEC: ipa-dnskeysyncd
OpenDNSSEC は、DNSSEC (DNS Security Extensions) キーおよびゾーンの署名の記録プロセスを自動化する DNS マネージャーです。ipa-dnskeysyncd serv サービスは、IdM Directory Server と OpenDNSSEC との間の同期を管理します。

図1.1 Identity Management サーバー: サービスの統合

Identity Management サーバー: サービスの統合

1.2.2. Identity Management クライアント

IdM クライアントは、IdM ドメイン内で動作するように設定されたマシンです。ドメインリソースにアクセスするために IdM サーバーと対話します。たとえば、クライアントは、サーバーに設定した Kerberos ドメインに属し、サーバーが発行する証明書およびチケットを受け取り、その他の一元管理サービスを使用して認証および認可を行います。
IdM クライアントでは、ドメインの一部として操作するための専用のクライアントソフトウェアは必要ありません。必要なのは、Kerberos や DNS など、特定のサービスおよびライブラリーのシステム設定を適切に指定するだけです。この設定では、クライアントマシンが IdM サービスを使用するように指定します。
IdM クライアントのインストールは、3章Identity Management クライアントのインストールおよびアンインストール を参照してください。

1.2.2.1. IdM クライアントがホストするサービス

System Security Services Daemon: sssd
SSSD (System Security Services Daemon) は、ユーザー認証およびキャッシュ認証情報を管理するクライアント側のアプリケーションです。
キャッシュを使用すると、IdM サーバーが利用できなくなったり、クライアントがオフラインになったりした場合に、ローカルシステムが通常の認証操作を継続できるようになります。
詳細は、『System-Level Authentication Guide』のConfiguring SSSDを参照してください。SSSD は、Windows Active Directory (AD) にも対応しています。AD で SSSD を使用する方法は、『Windows Integration Guide』のUsing Active Directory as an Identity Provider for SSSDを参照してください。
certmonger
certmonger サービスは、クライアント上の証明書を監視、更新します。このサービスは、システム上のサービスに対して新しい証明書を要求できます。
詳細は、『System-Level Authentication Guide』のWorking with certmongerを参照してください。

図1.2 IdM サービス間の対話

IdM サービス間の対話