Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第1章 コンテナー Identity Management サービスの概要
以下のセクションでは、Red Hat Enterprise Linux におけるコンテナー Identity Management サービスの概要を説明します。
警告
rhel7/ipa-server コンテナーはテクノロジープレビュー機能です。詳細は、Red Hat ナレッジベースの「Technology Preview Features Support Scope」を参照してください。
1.1. ipa-server および sssd コンテナーの概要
コンテナーで Identity Management または System Security Services Daemon (SSSD) を使用すると、ホストシステムからすべての Identity Management または SSSD プロセスが独立して実行されるようになります。これにより、これらのプロセスと競合せずに、ホストシステムが他のソフトウェアを実行できるようになります。
重要
ipa-server および sssd コンテナーは、Red Hat Enterprise Linux Atomic Host システムで使用するように設計されています。Atomic Host の詳細は、Atomic ドキュメントの 「 Getting Started with Atomic」を参照してください。
関連情報
- 「Overview of Containers in Red Hat Systems」では、コンテナーの概要と仕組みについて説明しています。このガイドには、コンテナーの使用に関するドキュメントへのリンクも含まれています。
- Linux ドメイン Identity Management の『Red Hat Identity Management の概要』では、Identity Management、Identity Management サーバー、Identity Management クライアントの概要を説明しています。
- 『Atomic Host ドキュメント』 では、一般的な Red Hat Enterprise Linux Atomic Host およびコンテナーに関する情報を提供しています。
1.2. 利用可能なコンテナーイメージ
rhel7/ipa-server コンテナーイメージ
- Identity Management サーバーと関連サービスをコンテナーで実行できます。
- Identity Management サーバーサービスを提供します。
rhel7/sssd コンテナーイメージ
- コンテナーで System Security Services Daemon (SSSD) を実行できます。
- Identity Management サーバーにシステムを登録するか、そのシステムを Active Directory ドメインに接続することで、ID および認証サービスを Atomic Host システムに提供します。
- その他のコンテナーで実行中のアプリケーションに、ID および認証サービスを提供します。
関連情報
- コンテナーイメージについての詳細は、「Red Hat Container Catalog」を参照してください。
1.3. コンテナーで Identity Management を使用する利点と欠点
利点
- Identity Management の設定およびデータはすべて、サブディレクトリーに分離して保持されます。
- Identity Management サーバーの移行は容易です。コンテナーサブディレクトリーは、別のコンテナーまたはホストシステムに移行できます。または、4章コンテナーからホストシステムへのサーバーの移行を参照してください。
短所
- Identity Management プロセスは Atomic で実行されます。たとえば、docker デーモンが終了する場合は、その下で実行されている Identity Management サーバーも終了します。ただし、複数のレプリカを維持すると、この欠点が発生します。
SELinux の分離は、コンテナー内のコンポーネントには適用されません。ただし、コンポーネントはプロセス UID を使用して依然として分離されます。
- SELinux はコンポーネント間で強制アクセス制御 (MAC) を適用することはありませんが、sVirt プロジェクトは MAC をコンテナー環境に適用します。これにより、コンテナー全体が他のコンテナーから保護されます。
- ipa-server コンテナーは、Identity Management サーバー自体を実行するために必要なコンポーネントのみを実行します。コンテナーは、SELinux の分離が欠落しているため、Identity Management を攻撃できるサードパーティーのコンポーネントを実行しません。
- Atomic ドキュメントの 「Secure Containers with SELinux」も参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。