第27章 ID 管理

ID 管理 (IdM) は、標準定義の共通ネットワークサービス (PAM、LDAP、Kerberos、DNS、NTP、および証明書サービスを含む) に統一された環境を提供します。IdM を使うことで、Red Hat Enterprise Linux システムはドメインコントローラーとして機能することができます[25]
Red Hat Enterprise Linux では、ipa-server パッケージが IdM サーバーを提供します。以下のコマンドを実行して、ipa-server パッケージがインストールされているか確認します。
~]$ rpm -q ipa-server
package ipa-server is not installed
このパッケージがインストールされていない場合は、root ユーザーで以下のコマンドを実行してインストールします。
~]# yum install ipa-server

27.1. ID 管理と SELinux

ID 管理では、ホストごとに IdM ユーザーを設定済みの SELinux ロールにマッピングすることで、IdM アクセス権の SELinux コンテキストの指定ができます。ユーザーのログインプロセス中に、System Security Services Daemon (SSSD) は特定の IdM ユーザー向けに定義されたアクセス権をクエリします。すると pam_selinux モジュールがカーネルに要求を送信し、guest_u:guest_r:guest_t:s0 のような IdM アクセス権にしたがった適切な SELinux コンテキストでユーザープロセスを開始します。
ID 管理および SELinux についての詳細情報は、Red Hat Enterprise Linux 7 の『Linux ドメイン ID、認証、およびポリシーガイド』を参照してください。

27.1.1. アクティブディレクトリードメインへの信頼

以前のバージョンの Red Hat Enterprise Linux では、ID 管理はアクティブディレクトリー (AD) ドメインからのユーザーに、WinSync ユーティリティーを使って IdM ドメインで保存されているデータへのアクセスを許可していました。これを行うために、WinSync は AD サーバーからローカルサーバーにユーザーおよびグループのデータを複製し、このデータを同期させておく必要がありました。
Red Hat Enterprise Linux 7 では、SSSD デーモンと AD の連携が強化され、ユーザーが IdM と AD ドメイン間の信頼できる関係を作成できるようになりました。ユーザーおよびグループデータは、AD サーバーから直接読み込まれます。さらに、AD および IdM ドメイン間でシングルサインオン (SSO) 認証を可能にする Kerberos レルム間の信頼が提供されています。SSO が設定されていれば、AD ドメインからのユーザーはパスワードなしで、IdM ドメインに保存されている Kerberos 保護のデータにアクセスできます。
この機能はデフォルトではインストールされていないので、使用する場合は ipa-server-trust-ad パッケージを新たにインストールします。


[25] ID 管理の詳細情報は、Red Hat Enterprise Linux 7 の『Linux ドメイン ID、認証、およびポリシーガイド』を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。