第1章 コンテナー Identity Management サービスの概要

以下のセクションでは、Red Hat Enterprise Linux におけるコンテナー Identity Management サービスの概要を説明します。

警告

rhel7/ipa-server コンテナーはテクノロジープレビュー機能です。詳細は、Red Hat ナレッジベースの「Technology Preview Features Support Scope」を参照してください。

1.1. ipa-server および sssd コンテナーの概要

コンテナーで Identity Management または System Security Services Daemon (SSSD) を使用すると、ホストシステムからすべての Identity Management または SSSD プロセスが独立して実行されるようになります。これにより、これらのプロセスと競合せずに、ホストシステムが他のソフトウェアを実行できるようになります。

重要

ipa-server および sssd コンテナーは、Red Hat Enterprise Linux Atomic Host システムで使用するように設計されています。Atomic Host の詳細は、Atomic ドキュメントの 「 Getting Started with Atomic」を参照してください。

関連情報

  • 「Overview of Containers in Red Hat Systems」では、コンテナーの概要と仕組みについて説明しています。このガイドには、コンテナーの使用に関するドキュメントへのリンクも含まれています。
  • Linux ドメイン Identity Management の『Red Hat Identity Management の概要』では、Identity Management、Identity Management サーバー、Identity Management クライアントの概要を説明しています。
  • 『Atomic Host ドキュメント』 では、一般的な Red Hat Enterprise Linux Atomic Host およびコンテナーに関する情報を提供しています。

1.2. 利用可能なコンテナーイメージ

rhel7/ipa-server コンテナーイメージ

  • Identity Management サーバーと関連サービスをコンテナーで実行できます。
  • Identity Management サーバーサービスを提供します。

rhel7/sssd コンテナーイメージ

  • コンテナーで System Security Services Daemon (SSSD) を実行できます。
  • Identity Management サーバーにシステムを登録するか、そのシステムを Active Directory ドメインに接続することで、ID および認証サービスを Atomic Host システムに提供します。
  • その他のコンテナーで実行中のアプリケーションに、ID および認証サービスを提供します。

関連情報

1.3. コンテナーで Identity Management を使用する利点と欠点

利点

  • Identity Management の設定およびデータはすべて、サブディレクトリーに分離して保持されます。
  • Identity Management サーバーの移行は容易です。コンテナーサブディレクトリーは、別のコンテナーまたはホストシステムに移行できます。または、4章コンテナーからホストシステムへのサーバーの移行を参照してください。

短所

  • Identity Management プロセスは Atomic で実行されます。たとえば、docker デーモンが終了する場合は、その下で実行されている Identity Management サーバーも終了します。ただし、複数のレプリカを維持すると、この欠点が発生します。
  • SELinux の分離は、コンテナー内のコンポーネントには適用されません。ただし、コンポーネントはプロセス UID を使用して依然として分離されます。

    • SELinux はコンポーネント間で強制アクセス制御 (MAC) を適用することはありませんが、sVirt プロジェクトは MAC をコンテナー環境に適用します。これにより、コンテナー全体が他のコンテナーから保護されます。
    • ipa-server コンテナーは、Identity Management サーバー自体を実行するために必要なコンポーネントのみを実行します。コンテナーは、SELinux の分離が欠落しているため、Identity Management を攻撃できるサードパーティーのコンポーネントを実行しません。
    • Atomic ドキュメントの 「Secure Containers with SELinux」も参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。