Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.2. Identity Management ドメイン

Identity Management(IdM)ドメインは、同じ設定、ポリシー、およびアイデンティティーストアを共有するマシンのグループで構成されます。共有プロパティーにより、ドメイン内のマシンは相互に認識でき、連携できます。
IdM の観点から見ると、ドメインには以下のタイプのマシンが含まれます。
  • IdM サーバー。ドメインコントローラーとして動作する。
  • サーバーに登録されている IdM クライアント
IdM サーバーは、それ自体に登録している IdM クライアントでもあります。サーバーマシンはクライアントと同じ機能を提供します。
IdM は、IdM サーバーおよびクライアントとしての Red Hat Enterprise Linux マシンに対応します。
注記
本ガイドでは、Linux 環境で IdM を使用する方法を説明します。Active Directory との統合に関する詳細は、『 Windows Integration Guide』を参照してください

1.2.1. Identity Management サーバー

IdM サーバーは、ID 情報およびポリシー情報の中央リポジトリーとして機能します。また、ドメインメンバーが使用するサービスをホストします。IdM は、IdM 関連の全サービスを一元的に管理する管理ツールを提供します(IdM Web UI およびコマンドラインユーティリティー)。
IdM サーバーのインストールの詳細は、2章Identity Management サーバーのインストールおよびアンインストール を参照してください。
冗長性と負荷分散をサポートするには、データと設定を IdM サーバーから別のサーバーに複製できます(初期サーバーの レプリカ )。サーバーとそのレプリカを設定して、異なるサービスをクライアントに提供できます。IdM レプリカの詳細は、4章Identity Management のレプリカのインストールとアンインストール を参照してください。

1.2.1.1. IdM サーバーがホストするサービス

以下のサービスの多くは、IdM サーバーへのインストールが必須というわけではありません。たとえば、認証局(CA)、DNS サーバー、または Network Time Protocol(NTP)サーバーなどのサービスは、IdM ドメイン外の外部サーバーにインストールできます。
Kerberos: krb5kdc および kadmin
IdM は、シングルサインオンに対応する Kerberos プロトコルを使用します。Kerberos では、正しいユーザー名とパスワードを一度提示するだけで済み、システムから認証情報を再度求められることなく IdM サービスにアクセスできます。
LDAP ディレクトリーサーバー: dirsrv
IdM 内部 LDAP ディレクトリーサーバー インスタンスでは、Kerberos、ユーザーアカウント、ホストエントリー、サービス、ポリシー、DNS などの情報など、すべての IdM 情報を保存します。
LDAP ディレクトリーサーバーインスタンスは、Red Hat Directory Server と同じテクノロジーをベースにしています。ただし、IdM 固有のタスクに合わせて調整されます。
注記
本ガイドでは、このコンポーネントを Directory Server と呼びます。
認証局: pki-tomcatd
統合認証局 (CA) は、Red Hat Certificate System と同じテクノロジーをベースにしています。pki は、証明書システムサービスにアクセスするコマンドラインインターフェースです。
注記
本ガイドでは、実装が提供するサービスへの対処時に、このコンポーネントを証明書システムとして参照します。
Red Hat Certificate System、スタンドアロン Red Hat 製品の詳細は、「 Product Documentation for Red Hat Certificate System 」を参照してください。
DNS(Domain Name System): 名前
IdM は、動的サービス検出に DNS を使用します。IdM クライアントのインストールユーティリティーは、DNS からの情報を使用して、クライアントマシンを自動的に設定できます。クライアントを IdM ドメインに登録したら、クライアントは DNS を使用してドメイン内の IdM サーバーおよびサービスを検索します。
Red Hat Enterprise Linux の DNS (Domain Name System)プロトコルの BIND(Berkeley Internet Name Domain )実装には、名前付き DNS サーバーが含まれます。named-pkcs11 は、PKCS#11 暗号化標準に対するネイティブサポートで構築された BIND DNS サーバーのバージョンです。
ネットワークタイムプロトコル: ntpd
多くのサービスでは、特定の差異内でサーバーとクライアントが同一のシステムタイムを保持している必要があります。たとえば、Kerberos チケットはタイムスタンプを使用して有効性を決定し、リプレイ攻撃を防ぎます。サーバーとクライアントの間の時間が許可された範囲内に切り替わった場合、Kerberos チケットは無効になります。
デフォルトでは、IdM は Network Time Protocol(NTP) を使用して ntpd サービスを介してネットワーク経由でクロックを同期します。NTP では、中央サーバーが権威クロックとして機能し、クライアントはサーバークロックに一致する時刻と同期します。IdM サーバーは、サーバーのインストールプロセス時に IdM ドメインの NTP サーバーとして設定されます。
注記
仮想マシンにインストールされる IdM サーバーで NTP サーバーを実行すると、一部の環境で時間同期が不正確になることがあります。潜在的な問題を回避するには、仮想マシンにインストールされている IdM サーバーで NTP を実行しないでください。仮想マシンで NTP サーバーの信頼性に関する詳しい情報は、こちらのナレッジベースソリューションを参照してください
Apache HTTP Server: httpd
Apache HTTP Web サーバーは IdM Web UI を提供し、認証局とその他の IdM サービス間の通信も管理します。
Samba / Winbind: smbwinbind
Samba は、Red Hat Enterprise Linux に、Common Internet File System(CIFS)プロトコルとも呼ばれる Server Message Block(SMB)プロトコルを実装します。smb サービス経由で SMB プロトコルを使用すると、ファイル共有や共有プリンターなどのサーバーのリソースにアクセスできます。Active Directory(AD)環境で信頼を設定している場合には、Winbind サービスは IdM サーバーと AD サーバー間の通信を管理します。
ワンタイムパスワード(OTP)認証: ipa-otpd
ワンタイムパスワード(OTP) は、2 要素認証の一部として、認証トークンがセッション 1 つだけで生成されるパスワードです。OTP 認証は、ipa-otpd サービスを介して Red Hat Enterprise Linux に実装されています。
custodia: ipa-custodia
Custodia はシークレットサービスプロバイダーで、パスワード、キー、トークン、証明書などのシークレット資料へのアクセスを保存し、共有します。
OpenDNSSEC: ipa-dnskeysyncd
opendnssec は、DNSSEC(DNS Security Extensions)キーおよびゾーンの署名を保持するプロセスを自動化する DNS マネージャーです。ipa-dnskeysyncd serv uce は、IdM Directory Server と OpenDNSSEC の同期を管理します。

図1.1 Identity Management サーバー: サービスの統合

Identity Management サーバー: サービスの統合