1.2. シングルサインオンのプランニング

「ユーザー ID の確認」で説明した認証では、セキュアなアプリケーションにアクセスするには最低でもパスワードが必要になります。中央の ID ストアがない場合や、各アプリケーションが独自にユーザーと認証情報を維持している場合に、ユーザーはサービスやアプリケーションを開くたびにパスワードの入力を求められます。こうなると一日に何度も、場合によっては数分ごとにパスワードの入力が必要になる可能性があります。
複数のパスワードを維持してそれらを何度も入力することは、ユーザーおよび管理者にとって大変な負担です。シングルサインオン を使うと、管理者は単一のパスワードストアを作成できるので、ユーザーは単一のパスワードを使ってログインして、すべてのネットワークリソースに認証されることが可能になります。
Red Hat Enterprise Linux では、ワークステーションへのログインやスクリーンセーバーの解除、Mozilla Firefox を使った安全なウェブページへのアクセスなど、複数のリソースに対してシングルサインオンをサポートしています。PAM、NSS、および Kerberos など、他の利用可能なシステムサービスを使うと、他のシステムアプリケーションもこれらの ID ソースを使用するように設定できます。
シングルサインオンはユーザーの利便性を高めると同時に、サーバーおよびネットワークの新たなセキュリティー層の役割も果たします。シングルサインオンはセキュアで効果的な認証の要所となります。Red Hat Enterprise Linux では、シングルサインオンを有効にする以下の 2 つの認証メカニズムを提供しています。
  • Kerberos レルムと Active Directory ドメインの両方を使った Kerberos ベースの認証
  • スマートカードベースの認証
これらのメカニズムは両方とも (Kerberos レルムまたは公開鍵インフラストラクチャーの認証局により) 中央 ID ストアを作成します。ローカルシステムのサービスは複数のローカルストアを維持するのではなく、これらの ID ドメインを使用します。