Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.3. 間接統合

間接統合の利点は、Active Directory(AD)ドメインのユーザーが透過的に Linux システムおよびサービスにアクセスできるようにする一方で、これらのシステムに関連する Linux システムとポリシーを一元管理することにあります。間接統合には、以下の 2 つの方法があります。
信頼ベースのソリューション
推奨される方法は、Red Hat Enterprise Linux で中央サーバーとして Identity Management(IdM)を使用して Linux システムを制御し、AD を使用したレルム間の Kerberos 信頼を確立し、AD からのユーザーがログインして Linux システムおよびリソースにアクセスする場合にシングルサインオンを使用することができます。このソリューションでは、Kerberos 機能を使用して、異なる ID ソース間で信頼関係を確立します。IdM は、それ自体を別のフォレストとして AD に提示し、AD で対応しているフォレストレベルの信頼を利用します。
複雑な環境では、1 つの IdM フォレストを、複数の AD フォレストに接続できます。この設定により、組織のさまざまな機能の作業を、より適切に分離できます。Linux 管理者は Linux インフラストラクチャーを完全に制御できますが、AD 管理者はユーザーと、ユーザーに関連するポリシーに集中できます。このような場合、IdM が制御する Linux レルムは、AD リソースドメインまたはレルムに似ていますが、Linux システムを使用します。
注記
Windows では、すべてのドメインが Kerberos レルムと DNS ドメインを同時に設定します。ドメインコントローラーが管理するすべてのドメインには、独自の専用 DNS ゾーンが必要です。IdM がフォレストとして AD に信頼される場合も同様です。AD は、IdM に独自の DNS ドメインがあることを想定します。信頼の設定が機能するには、DNS ドメインを Linux 環境専用にする必要があります。
信頼環境では、IdM では、ID ビューを使用して、IdM サーバーの AD ユーザーの POSIX 属性を設定できます。詳細は以下を参照してください。
同期ベースのソリューション
信頼ベースのソリューションの代わりとして、ユーザー同期機能(IdM または Red Hat Directory Server(RHDS)で利用可能)を利用して、ユーザーアカウント(および RHDS もアカウントアカウント)を AD または RHDS から IdM または RHDS と同期させることができますが、逆方向ではありません。ユーザーの追加には、以下のような特定の制限があります。
  • ユーザーの重複
  • パスワード同期の必要性。これには AD ドメインのすべてのドメインコントローラーで特殊なコンポーネントが必要になります。
  • パスワード取得が可能になるには、全ユーザーが最初にパスワードを手動で変更する必要があります。
  • 同期は単一ドメインにのみ対応。
  • IdM または RHDS の 1 つのインスタンスへのデータ同期には、AD 内で 1 つのドメインコントローラーのみが使用可能。
統合のシナリオによっては、ユーザー同期は唯一のオプションになりますが、一般的にはレルム間の信頼ベースの統合を優先するため、同期アプローチの使用は推奨されません。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。