5.4. IdM Web UI

Identity Management Web UI とは、IdM 管理の Web アプリケーションのことで、ipa コマンドラインユーティリティーにある大半の機能が含まれます。そのため、ユーザーは IdM の管理に UI またはコマンドラインのいずれかを選択できます。

注記

ログイン中のユーザーが利用できる管理操作は、そのユーザーに割り当てられている権限により異なります。admin ユーザーおよびその他に管理者権限のあるユーザーは、すべての管理タスクを使用できます。通常のユーザーが使用できるのは、自身のユーザーアカウントに関する操作のみに限られます。

5.4.1. サポート対象の Web ブラウザー

Identity Management では、以下のブラウザーを使用して Web UI に接続することができます。
  • Mozilla Firefox 38 以降
  • Google Chrome 46 以降

5.4.2. Web UI へのアクセスおよび認証

Web UI には、IdM サーバーおよびクライアントマシンの両方から、さらに IdM ドメイン外のマシンからもアクセスできます。ただし、ドメイン外のマシンから UI にアクセスするには、IdM 以外のシステムで IdM Kerberos ドメインに接続できるように設定しておく必要があります。詳細は、「Web UI への Kerberos 認証用の外部システム設定」を参照してください。

5.4.2.1. Web UI へのアクセス

Web UI をアクセスして、ブラウザーアドレスバーに IdM サーバーの URL を入力します。
https://server.example.com
これで、ブラウザーに Web UI ログイン画面が表示されます。
Web UI ログイン画面

図5.1 Web UI ログイン画面

5.4.2.2. 利用可能なログイン方法

ユーザーは、以下の方法で Web UI に対して認証を行うことができます。
有効な Kerberos チケットの使用
ユーザーが kinit ユーティリティーから TGT を取得して、その TGT が有効な場合には Login ボタンをクリックすることで自動的にユーザーが認証されます。ブラウザーは、Kerberos 認証をサポートするように正しく設定しておく必要がある点にご注意ください。
Kerberos TGT の取得に関する情報は、「Kerberos を使用した IdM へのログイン」を参照してください。ブラウザーの設定に関する情報は、「Kerberos 認証用のブラウザーの設定」を参照してください。
ユーザー名およびパスワードの提示
ユーザー名およびパスワードを使用して認証するには、Web UI のログイン画面でユーザー名とパスワードを入力します。
IdM は、ワンタイムパスワード (OTP) 認証もサポートします。詳しい情報は「ワンタイムパスワード」を参照してください。
スマートカードの使用
ユーザー認証に成功すると、IdM 管理ウィンドウが開きます。
IdM Web UI のレイアウト

図5.2 IdM Web UI のレイアウト

5.4.2.3. AD ユーザーとしての IdM Web UI への認証

Active Directory (AD) ユーザーは、ユーザー名とパスワードを使用して IdM web UI にログインできます。web UI では、AD ユーザーは管理者権限に関連付けられた管理操作を実行できる IdM ユーザーとは違い、自分のユーザーアカウントに関連する操作だけを実行できます。
AD ユーザー向けの web UI ログインを有効にするには、IdM 管理者は、各 AD ユーザーの ID オーバーライドを Default Trust View で定義する必要があります。以下に例を示します。
[admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com
AD における ID ビューの詳細については、『Windows 統合ガイド』の「Active Directory 環境での ID ビューの使用」を参照してください。

5.4.3. Kerberos 認証用のブラウザーの設定

Kerberos 認証情報での認証を有効化するには、ブラウザーが Kerberos との交渉をサポートして IdM ドメインにアクセスできるように設定する必要があります。お使いのブラウザーを Kerberos 認証用に適切に設定されていない場合は、IdM Web UI ログイン画面で Login をクリックした後にエラーメッセージが表示されます。
Kerberos 認証エラーメッセージ

図5.3 Kerberos 認証エラーメッセージ

Kerberos 認証ようにブラウザーを設定する方法には 3 通りあります。

注記

『システムレベルの認証ガイド』には、「Firefox でシングルサインオンに Kerberos を使用するように設定する手順」が含まれます。Kerberos 認証が予想通りに機能しない場合には、このトラブルシューティングガイドを参照してください。

Web UI の Firefox での自動設定

IdM web UI から Firefox を自動で設定するには以下を実行します。
  1. Web UI のログイン画面でブラウザー設定のリンクをクリックします。
  2. Firefox の設定リンクを選択して、Firefox 設定ページを開きます。
  3. Firefox 設定ページの手順に従います。

コマンドラインからの Firefox 自動設定

Firefox は、IdM クライアントのインストール時にコマンドラインから設定できます。これには、ipa-client-install ユーティリティーで IdM クライアントをインストールする際に --configure-firefox オプションを使用します。
# ipa-client-install --configure-firefox
--configure-firefox オプションは、シングルサインオン (SSO) での Kerberos を有効化するデフォルトの Firefox 設定で、グローバル設定ファイルを作成します。

手動によるブラウザーの設定

ブラウザーを手動で設定するには以下を実行します。
  1. Web UI のログイン画面でブラウザー設定のリンクをクリックします。
  2. 手動でのブラウザー設定のリンクを選択します。
  3. ブラウザーの設定の説明を探して、手順に従います。

5.4.4. Web UI への Kerberos 認証用の外部システム設定

IdM ドメインのメンバーでないシステムから Web UI への Kerberos 認証を有効にするには、外部マシンで IdM 固有の Kerberos 設定ファイルを定義する必要があります。特にインフラストラクチャーに複数のレルムや重複ドメインが含まれる場合に、外部マシンで Kerberos 認証を有効化すると便利です。
Kerberos 設定ファイルを作成するには、以下を実行します。
  1. 以下のように、IdM サーバーから外部マシンに /etc/krb5.conf ファイルをコピーします。
    # scp /etc/krb5.conf root@externalmachine.example.com:/etc/krb5_ipa.conf

    警告

    外部マシンの既存の krb5.conf ファイルは上書きしないでください。
  2. 外部マシン上で、端末のセッションがコピーされた IdM Kerberos 設定ファイルを使用するよう設定します。
    $ export KRB5_CONFIG=/etc/krb5_ipa.conf
  3. 「Kerberos 認証用のブラウザーの設定」で記載されているように、外部マシンのブラウザーを設定します。
外部システムのユーザーは、IdM サーバーに対して kinit ユーティリティーを使用できるようになりました。

5.4.5. Web UI でのプロキシーサーバーおよびポート転送

Web UI へのアクセスにプロキシーサーバーを使用する場合には、IdM での追加設定は必要ありません。
ポート転送は IdM サーバーではサポートされていませんが、IdM ではプロキシーサーバーを使用することができるので、OpenSSH と SOCKS オプションでプロキシー転送を使用して、ポート転送に似た操作を設定することができます。これは、ssh ユーティリティーに -D オプションを指定して設定できます。-D オプションの使用に関する詳細は、ssh(1) の man ページを参照してください。