Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第26章 ID 管理

Identity Management(IdM)は、PAM、LDAP、Kerberos、DNS、NTP、証明書サービスなど、標準定義の一般的なネットワークサービス向けの環境を提供します。IdM を使用すると、Red Hat Enterprise Linux システムがドメインコントローラーとして機能できます。[25]
Red Hat Enterprise Linux では、ipa-server パッケージは IdM サーバーを提供します。以下のコマンドを実行して、ipa-server パッケージがインストールされているかどうかを確認します。
~]$ rpm -q ipa-server
package ipa-server is not installed
インストールされていない場合は、root で以下のコマンドを実行してインストールします。
~]# yum install ipa-server

26.1. Identity Management および SELinux

Identity Management は、IdM ユーザーをホストごとに設定した SELinux ロールにマップし、IdM アクセス権に対して SELinux コンテキストを指定できるようにします。ユーザーログインプロセス中に、SSSD(System Security Services Daemon)は、特定の IdM ユーザーに定義されたアクセス権限をクエリーします。次に、pam_selinux モジュールは、要求をカーネルに送信し、guest_ u:guest_r:guest_t:s0 など、IdM アクセス権限に従って、適切な SELinux コンテキストでユーザープロセスを起動します。

26.1.1. Active Directory ドメインへの信頼

以前のバージョンの Red Hat Enterprise Linux では、Identity Management は WinSync ユーティリティーを使用して、Active Directory(AD)ドメインのユーザーが IdM ドメインに保存されているデータにアクセスできるようにしました。これを行うには、WinSync は、AD サーバーからローカルサーバーにユーザーおよびグループデータを複製して、同期したデータを保存する必要がありました。
Red Hat Enterprise Linux 7 では、SSSD デーモンが AD と連携できるように改良され、ユーザーが IdM ドメインと AD ドメインとの間に信頼できる関係を作成できます。ユーザーおよびグループデータは AD サーバーから直接読み込まれます。さらに、AD ドメインと IdM ドメイン間のシングルサインオン(SSO)認証を許可する Kerberos レルム間の信頼が提供されます。SSO が設定されている場合、AD ドメインのユーザーは、パスワードなしで IdM ドメインに保存される Kerberos により保護されたデータにアクセスできます。
この機能はデフォルトではインストールされていません。これを使用するには、追加の ipa-server-trust-ad パッケージをインストールします。