Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.4. IdM Web UI

Identity Management の Web UI は、IdM 管理用の Web アプリケーションです。これには、ipa コマンドラインユーティリティーの機能の大部分が含まれます。そのため、UI またはコマンドラインのどちらから IdM を管理するかを選択できます。
注記
ログインしているユーザーが利用できる管理操作は、ユーザーのアクセス権限によって異なります。管理者権限を持つ admin ユーザーおよびその他のユーザーの場合は、すべての管理タスクが利用可能になります。通常ユーザーは、自身のユーザーアカウントに関連する限定された一連の操作のみを利用できます。

5.4.1. サポート対象の Web ブラウザー

Identity Management では、以下のブラウザーを使用して、Web UI に接続できます。
  • Mozilla Firefox 38 以降
  • Google Chrome 46 以降

5.4.2. Web UI へのアクセスおよび認証

Web UI には、IdM サーバーおよびクライアントマシンの両方、および IdM ドメイン外のマシンからもアクセスできます。ただし、ドメイン以外のマシンから UI にアクセスするには、IdM 以外のシステムを IdM Kerberos ドメインに接続できるように設定する必要があります。詳細は、「Web UI への Kerberos 認証のための外部システムの設定」 を参照してください。

5.4.2.1. Web UI へのアクセス

Web UI にアクセスするには、ブラウザーのアドレスバーに IdM サーバーの URL を入力します。
https://server.example.com
これで、ブラウザーに IdM Web UI ログイン画面が開きます。

図5.1 Web UI のログイン画面

Web UI のログイン画面

5.4.2.2. 利用可能なログイン方法

ユーザーは、以下の方法で Web UI に対して認証できます。
アクティブな Kerberos チケットの使用
kinit ユーティリティーで有効な TGT を取得した場合は、ログイン をクリックすると自動的にユーザーを認証します。Kerberos 認証に対応するようにブラウザーを適切に設定する必要があります。
Kerberos TGT を取得する方法は、「Kerberos を使用した IdM へのログイン」 を参照してください。ブラウザーの設定に関する詳細は、「Kerberos 認証用のブラウザーの設定」 を参照してください。
ユーザー名とパスワードの指定
ユーザー名とパスワードを使用して認証するには、Web UI のログイン画面にユーザー名とパスワードを入力します。
IdM は、ワンタイムパスワード (OTP) 認証にも対応しています。詳細な情報は、「ワンタイムパスワード」 を参照してください。
スマートカードの使用
ユーザーが正常に認証されると、IdM 管理ウィンドウが開きます。

図5.2 IdM Web UI レイアウト

IdM Web UI レイアウト

5.4.2.3. Web UI セッションの長さ

ユーザー名とパスワードを使用して IdM Web UI にログインすると、セッションの長さはログイン操作時に取得した Kerberos チケットの有効期限と同じになります。

5.4.2.4. AD ユーザーとしての IdM Web UI への認証

Active Directory(AD) ユーザーは、ユーザー名とパスワードを使用して IdM Web UI にログインできます。Web UI では、AD ユーザーは、管理者権限に関連する管理操作を実行できる IdM ユーザーとは異なり、自分のユーザーアカウントに関連する限定された操作のみを実行できます。
AD ユーザーに Web UI ログインを有効にするには、IdM 管理者は、Default Trust View で各 AD ユーザーの ID オーバーライドを定義する必要があります。以下に例を示します。
[admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com
AD の ID ビューの詳細は、『Windows Integration Guide』のUsing ID Views in Active Directory Environmentsを参照してください。

5.4.3. Kerberos 認証用のブラウザーの設定

Kerberos 認証情報での認証を有効にするには、IdM ドメインにアクセスするための Kerberos ネゴシエーションに対応するようにブラウザーを設定する必要があります。ブラウザーが Kerberos 認証に対して適切に設定されていない場合は、IdM Web UI のログイン画面で Login をクリックするとエラーメッセージが表示されます。

図5.3 Kerberos 認証エラーメッセージ

Kerberos 認証エラーメッセージ
Kerberos 認証用に、ブラウザーを以下の 3 つの方法で設定できます。
注記
System-Level Authentication Guide』には、Troubleshooting Firefox Kerberos Configurationが含まれます。Kerberos 認証が想定どおりに機能していない場合は、トラブルシューティングガイドで、他のアドバイスを参照してください。

Web UI での Firefox の自動設定

IdM Web UI から Firefox を自動的に設定するには、以下を実施します。
  1. Web UI のログイン画面で、ブラウザー設定のリンクをクリックします。
  2. Firefox 設定のリンクを選択して、Firefox 設定ページを開きます。
  3. Firefox 設定ページの手順に従います。

コマンドラインからの Firefox の自動設定

Firefox は、IdM クライアントのインストール時にコマンドラインから設定できます。これには、ipa-client-install ユーティリティーを使用して IdM クライアントをインストールする場合は --configure-firefox オプションを使用します。
# ipa-client-install --configure-firefox
--configure-firefox オプションは、シングルサインオン (SSO) で Kerberos を有効にするデフォルトの Firefox 設定でグローバル設定ファイルを作成します。

手動のブラウザー設定

ブラウザーを手動で設定するには、以下を実行します。
  1. Web UI のログイン画面で、ブラウザー設定のリンクをクリックします。
  2. 手動のブラウザー設定のリンクを選択します。
  3. ブラウザーを設定する手順を探し、手順に従ってください。

5.4.4. Web UI への Kerberos 認証のための外部システムの設定

IdM ドメインのメンバーではないシステムから Web UI への Kerberos 認証を有効にするには、IdM 固有の Kerberos 設定ファイルを外部マシンに定義する必要があります。外部システムの Kerberos 認証を有効にすることは、インフラストラクチャーに、複数のレルムまたは重複ドメインが含まれている場合に特に便利です。
Kerberos 設定ファイルを作成するには、以下を実行します。
  1. IdM サーバーから外部マシンに /etc/krb5.conf ファイルをコピーします。以下に例を示します。
    # scp /etc/krb5.conf root@externalmachine.example.com:/etc/krb5_ipa.conf
    警告
    外部マシンにある既存の krb5.conf ファイルは上書きしないでください。
  2. 外部マシン上で、端末のセッションがコピーされた IdM Kerberos 設定ファイルを使用するよう設定します。
    $ export KRB5_CONFIG=/etc/krb5_ipa.conf
  3. 「Kerberos 認証用のブラウザーの設定」 の説明に従って、外部マシンにブラウザーを設定します。
外部システムのユーザーが、kinit ユーティリティーを使用して IdM サーバードメインで認証できるようになりました。

5.4.5. プロキシーサーバーおよび Web UI でのポート転送

Web UI にアクセスするためにプロキシーサーバーを使用する場合は、IdM で追加の設定は必要ありません。
ポート転送は IdM サーバーではサポートされていませんが、IdM ではプロキシーサーバーを使用できるので、OpenSSH と SOCKS オプションでプロキシー転送を使用して、ポート転送に似た操作を設定できます。ただし、プロキシーサーバーを使用できるため、OpenSSH および SOCKS オプションで、プロキシー転送を使用して、ポート転送に似た操作を設定できます。これは、ssh ユーティリティーの -D オプションで設定できます。-D の使用方法は、ssh(1) の man ページを参照してください。