Red Hat Training

A Red Hat training course is available for RHEL 8

1.6. IdM の用語

Active Directory フォレスト
Active Directory (AD) フォレストは、共通のグローバルカタログ、ディレクトリースキーマ、論理構造、およびディレクトリー設定を共有する 1 つ以上のドメインツリーのセットです。フォレストは、ユーザー、コンピューター、グループ、およびその他のオブジェクトにアクセスできるセキュリティー境界を表します。詳細は、Forests の Microsoft ドキュメントを参照してください。
Active Directory グローバルカタログ
グローバルカタログは Active Directory (AD) の機能であり、オブジェクトがドメインコントローラーのドメインのメンバーかどうかに関わらず、ドメインコントローラーがフォレスト内のオブジェクトに関する情報を提供できるようにします。グローバルカタログ機能が有効になっているドメインコントローラーは、グローバルカタログサーバーと呼ばれます。グローバルカタログは、マルチドメイン Active Directory ドメインサービス (AD DS) にあるすべてのドメインのすべてのオブジェクトの検索可能なカタログを提供します。
Active Directory セキュリティー識別子
セキュリティー識別子 (SID) は、ユーザー、グループ、ホストなど、Active Directory のオブジェクトに割り当てられた一意の ID 番号です。これは、Linux の UID および GID と同等の機能です。
Ansible プレイ
Ansible のプレイは、Ansible Playbook のビルディングブロックです。プレイの目的は、ホストのグループを、Ansible タスクで表す明確に定義されたロールにマッピングすることです。
Ansible Playbook
Ansible Playbook は、1 つ以上の Ansible プレイを含むファイルです。詳細は、Playbook に関する公式の Ansible ドキュメント を参照してください。
Ansible タスク
Ansible タスクは、Ansible のアクションの単位です。Ansible play には、複数のタスクを含めることができます。各タスクの目的は、非常に特殊な引数を使用してモジュールを実行することです。Ansible タスクは、特定の Ansible ロールまたはモジュールにより定義された状態を実現する一連の手順です。また、そのロールまたはモジュールの変数により微調整されます。詳細は、公式の Ansible タスクのドキュメント を参照してください。
Apache Web Server
Apache HTTP Server (通称 Apache) は、Apache License 2.0 の条件に基づいてリリースされた、無料かつオープンソースのクロスプラットフォーム Web サーバーアプリケーションです。Apache は、World Wide Web の初期の成長において重要なロールを果たし、現在は、主要な HTTP サーバーとなっています。そのプロセス名は httpd で、HTTP デーモン の略になります。Red Hat Identity Management (IdM) は、Apache Web Server を使用して IdM Web UI を表示し、Directory Server や認証局などのコンポーネント間の通信を調整します。
証明書
証明書とは、個人、サーバー、会社、または他のエンティティーを特定し、その ID を公開鍵に関連付けるために使用される電子ドキュメントです。ドライバーのライセンスやパスポートなど、証明書は、ユーザー ID の一般的に認識される証明を提供します。公開鍵暗号では、証明書を使用してなりすましの問題に対処します。
IdM の認証局 (CA)

デジタル証明書を発行するエンティティーです。Red Hat Identity Management では、プライマリー CA は IdM CA ipa です。ipa CA 証明書は、次のいずれかの種類になります。

  • 自己署名。この場合、ipa CA はルート CA です。
  • 外部署名。この場合、ipa CA は外部 CA に従属します。

IdM では、複数の サブ CA も作成できます。サブ CA は、証明書が以下のいずれかの種類である IdM CA です。

  • ipa CA により署名されます。
  • それ自体と ipa CA との間にある中間 CA で署名されます。サブ CA の証明書は自己署名できません。

CA サービスの計画 も参照してください。

フォレスト間の信頼

信頼は、2 つの Kerberos レルム間のアクセス関係を確立し、あるドメインのユーザーとサービスが別のドメインのリソースにアクセスできるようにします。

Active Directory (AD) フォレストルートドメインと IdM ドメインとの間のフォレスト間の信頼関係により、AD フォレストドメインのユーザーは、IdM ドメインの Linux マシンおよびサービスと相互作用できます。AD の観点から観ると、Identity Management は、1 つの AD ドメインを持つ個別の AD フォレストを表します。詳細は、信頼の仕組み を参照してください。

Directory Server
Directory Server は、ユーザー ID とアプリケーション情報を一元管理します。アプリケーション設定、ユーザープロファイル、グループデータ、ポリシー、アクセス制御情報を保存するためのオペレーティングシステムに依存しない、ネットワークベースのレジストリーを提供します。ネットワーク上の各リソースは、Directory Server によりオブジェクトと見なされます。特定リソースに関する情報は、そのリソースまたはオブジェクトに関連付けられた属性の集合として保存されます。Red Hat Directory Server は、LDAP 規格に準拠しています。
DNS PTR レコード
DNS ポインター (PTR) レコードは、ホストの IP アドレスをドメインまたはホスト名に解決します。PTR レコードは DNS A と AAAA レコードの逆で、ホスト名を IP アドレスに解決します。DNS PTR レコードは、逆引き DNS ルックアップを有効にします。PTR レコードは DNS サーバーに保存されます。
DNS SRV レコード
DNS サービス (SRV) レコードは、ドメインで利用可能なサービスのホスト名、ポート番号、トランスポートプロトコル、優先度、および重みを定義します。SRV レコードを使用して、IdM サーバーおよびレプリカを特定できます。
ドメインコントローラー (DC)
ドメインコントローラー (DC) は、ドメイン内のセキュリティー認証要求に応答し、そのドメイン内のリソースへのアクセスを制御するホストです。IdM サーバーは、IdM ドメインの DC として機能します。DC はユーザーを認証し、ユーザーアカウント情報を保存し、ドメインのセキュリティーポリシーを強制します。ユーザーがドメインにログインすると、DC はユーザーの認証情報を認証および検証し、アクセスを許可または拒否します。
完全修飾ドメイン名

完全修飾ドメイン名 (FQDN) は、DNS (Domain Name System) の階層内のホストの正確な場所を指定するドメイン名です。親ドメイン example. com にホスト名 myhost を持つデバイスには FQDN myhost.example.com があります。FQDN は、他のドメインの myhost と呼ばれる他のホストとデバイスを一意に区別します。

DNS 自動検出を使用してホスト machine1 に IdM クライアントをインストールし、DNS レコードが正しく設定されている場合は、machine1 の FQDN のみが必要になります。詳細は IdM のホスト名および DNS 要件 を参照してください。

GSSAPI

Generic Security Service Application Program Interface (GSSAPI または GSS-API) を使用すると、開発者はアプリケーションがピアアプリケーションに送信されるデータを保護する方法を抽象化できます。セキュリティーサービスベンダーは、セキュリティーソフトウェアを使用して、一般的なプロシージャ呼び出しの GSSAPI 実装をライブラリーとして提供できます。これらのライブラリーは、アプリケーションを作成し、ベンダーに依存しない GSSAPI のみを使用できるアプリケーション作成者向けに、GSSAPI 互換のインターフェイスを提供します。この柔軟性により、開発者は、セキュリティー実装を、特定のプラットフォーム、セキュリティーメカニズム、タイプの保護、またはトランスポートプロトコルに合わせて調整する必要がなくなります。

Kerberos は主要な GSSAPI メカニズムの実装であり、Red Hat Enterprise Linux および Microsoft Windows Active Directory Kerberos の実装を API 互換にすることができます。

非表示のレプリカ

非表示レプリカは、稼働中および利用可能なすべてのサービスを持つ IdM レプリカですが、サーバーロールは無効であり、クライアントは DNS に SRV レコードがないため、レプリカを検出できません。

非表示のレプリカは、主に IdM サービスのシャットダウンが必要なバックアップ、一括インポートおよびエクスポート、アクションなどのサービス用に設計されています。非表示のレプリカを使用するクライアントはないため、管理者はクライアントに影響を与えることなく、このホスト上のサービスを一時的にシャットダウンできます。詳細は、The hidden replica mode を参照してください。

HTTP サーバー
Web サーバー を参照してください。
ID マッピング

SSSD は、AD ユーザーの SID を使用して、ID マッピング と呼ばれるプロセスにおいてアルゴリズムで POSIX ID を生成できます。ID マッピングは、AD の SID と Linux の ID との間にマップを作成します。

  • SSSD が新しい AD ドメインを検出すると、利用可能な ID の範囲を新しいドメインに割り当てます。したがって、各 AD ドメインは、すべての SSSD クライアントマシンで同じ ID 範囲を持ちます。
  • AD ユーザーが SSSD クライアントマシンに初めてログインすると、SSSD は、ユーザーの SID およびそのドメインの ID 範囲を基にした UID など、SSSD キャッシュにユーザーのエントリーを作成します。
  • AD ユーザーの ID は、同じ SID から一貫した方法で生成されるため、Red Hat Enterprise Linux システムにログインする場合は、そのユーザーに同じ UID と GID が使用されます。
ID 範囲

ID 範囲は、IdM トポロジーまたは特定のレプリカに割り当てられた ID 番号の範囲です。ID 範囲を使用して、新規ユーザー、ホスト、およびグループの UID および GID の有効な範囲を指定できます。ID 範囲は、ID 番号の競合を避けるために使用されます。IdM の ID 範囲には、以下の 2 つのタイプがあります。

  • IdM ID 範囲

    この ID 範囲を使用して、IdM トポロジー全体でユーザーおよびグループの UID および GID を定義します。最初の IdM サーバーをインストールすると、IdM ID 範囲が作成されます。IdM ID の範囲は、作成後に変更することはできません。ただし、(元の ID 範囲が枯渇に近づいた場合などに) 追加の IdM ID 範囲を作成できます。

  • 分散型数値割り当て (DNA) の ID 範囲

    この ID 範囲を使用して、レプリカが新規ユーザーの作成時に使用する UID および GID を定義します。IdM レプリカに新しいユーザーまたはホストエントリーを追加すると、そのレプリカに DNA ID 範囲が割り当てられます。管理者は DNA ID 範囲を変更できますが、新しい定義は既存の IdM ID 範囲内に収まるようにする必要があります。

    IdM の範囲と DNA 範囲は一致しますが、相互接続されていないことに注意してください。1 つの範囲を変更する場合は、別の範囲を一致させるように変更してください。

詳細は、ID 範囲 を参照してください。

ID ビュー

ID ビューを使用すると、POSIX ユーザーまたはグループ属性に新しい値を指定でき、新しい値が適用されるクライアントホストを 1 つまたは複数定義できます。たとえば、ID ビューを使用して以下を行うことができます。

  • 環境ごとに異なる属性値を定義します。
  • 以前生成された属性の値を別の値に置き換えます。

IdM-AD 信頼設定では、Default Trust View は、AD ユーザーおよびグループに適用される ID ビューです。Default Trust View を使用すると、AD ユーザーおよびグループのカスタム POSIX 属性を定義できます。これにより、AD で定義された値をオーバーライドできます。

詳細は ID ビューを使用した IdM クライアントのユーザー属性値の上書き を参照してください。

IdM CA サーバー

IdM 認証局サービス (CA) がインストールされ、実行している IdM サーバー。

別名 - CA サーバー

IdM デプロイメント

IdM インストール全体を対象とする用語。以下の質問に回答することで、IdM デプロイメントについて説明できます。

  • IdM デプロイメントは、テスト用デプロイメントまたは実稼働デプロイメントですか?

    • IdM サーバーは何台ありますか?

  • IdM デプロイメントに 統合 CA は含まれていますか?

    • 含まれている場合、統合 CA は自己署名、または外部署名ですか?
    • 含まれている場合、どのサーバーで CA ロール を利用できますか?KRA ロールは、どのサーバーで利用できますか?

  • IdM デプロイメントに 統合 DNS は含まれていますか?

    • 含まれている場合、どのサーバーが DNS ロールを利用できますか?

  • IdM デプロイメントは AD フォレスト と信頼関係にありますか?

IdM サーバーおよびレプリカ

IdM デプロイメントの最初のサーバーをインストールするには、ipa-server-install コマンドを使用する必要があります。

管理者は、ipa-replica-install コマンドを使用して、最初にインストールしたサーバーに加えて レプリカ をインストールできます。デフォルトでは、レプリカをインストールすると、それが作成された IdM サーバーとの レプリカ合意 が作成され、残りの IdM への更新の送受信が実現します。

最初にインストールしたサーバーとレプリカの間に機能的な違いはありません。いずれも読み取り/書き込みが可能な、完全に機能する IdM サーバー です。

非推奨名: マスターサーバー

IdM CA 更新サーバー

IdM トポロジーに統合認証局 (CA) が含まれている場合は、1 台のサーバーに CA 更新サーバー 固有のロールがあります。このサーバーは、IdM システム証明書を管理して更新します。

デフォルトでは、最初にインストールした CA サーバーがこのロールに対応しますが、どの CA サーバーでも CA 更新サーバーに設定できます。統合 CA のないデプロイメントには、CA 更新サーバーはありません。

非推奨名: マスター CA

IdM CRL パブリッシャーサーバー

IdM トポロジーに統合認証局 (CA) が含まれている場合は、1 台のサーバーには、証明書失効リスト (CRL) パブリッシャーサーバー 固有のロールがあります。このサーバーは CRL を管理します。

デフォルトでは、CA 更新サーバー のロールに対応するサーバーは、このロールにも対応しますが、CA サーバーを CRL パブリッシャーサーバーとして設定することもできます。統合 CA のないデプロイメントには CRL パブリッシャーサーバーはありません。

IdM トポロジー
IdM ソリューションの構造、特に個々のデータセンターとクラスターとの間、およびその内部でレプリカ合意がどのように設定されるかを指す用語。
Kerberos 認証インジケーター

認証インジケーターは Kerberos チケットに割り当てられ、チケットの取得に使用される初期認証方法を表します。

  • 2 要素認証 (パスワード + ワンタイムパスワード) の otp
  • radius - Remote Authentication Dial-In User Service (RADIUS) 認証 (通常 802.1x 認証の場合)
  • Kerberos (PKINIT)、スマートカード、または証明書認証用の公開鍵暗号化の pkinit
  • 強化 - ブルートフォース攻撃に対して強化されたパスワードスワードのために

詳細は、Kerberos 認証インジケーター を参照してください。

Kerberos キータブ

パスワードはユーザーのデフォルトの認証方法ですが、キータブはホストおよびサービスのデフォルト認証方法です。Kerberos キータブは、Kerberos プリンシパルとその関連暗号鍵のリストが含まれるファイルで、サービスは独自の Kerberos キーを取得し、ユーザーのアイデンティティーを検証できます。

たとえば、すべての IdM クライアントには、Kerberos レルムのクライアントマシンを表す host プリンシパルに関する情報を格納する /etc/krb5.keytab ファイルがあります。

Kerberos プリンシパル

一意の Kerberos プリンシパルは、Kerberos レルムの各ユーザー、サービス、およびホストを特定します。

エンティティー命名規則

ユーザー

identifier@REALM

admin@EXAMPLE.COM

サービス

service/fully-qualified-hostname@REALM

http/server.example.com@EXAMPLE.COM

ホスト

host/fully-qualified-hostname@REALM

host/client.example.com@EXAMPLE.COM

Kerberos プロトコル
Kerberos は、秘密鍵の暗号化を使用してクライアントおよびサーバーアプリケーションに強力な認証を提供するネットワーク認証プロトコルです。IdM および Active Directory は、ユーザー、ホスト、およびサービスの認証に Kerberos を使用します。
Kerberos レルム
Kerberos レルムには、Kerberos Key Distribution Center (KDC) が管理するすべてのプリンシパルが含まれます。IdM デプロイメントでは、Kerberos レルムには、IdM ユーザー、ホスト、およびサービスがすべて含まれます。
Kerberos チケットポリシー

Kerberos Key Distribution Center (KDC) は、接続ポリシーによりチケットアクセス制御を強制し、チケットライフサイクルポリシーで Kerberos チケットの期間が管理されます。たとえば、デフォルトのグローバルチケットの有効期間は 1 日で、デフォルトのグローバル最大更新期間は 1 週間です。

詳細は IdM Kerberos チケットポリシータイプ を参照してください。

キー配布センター (KDC)

Kerberos Key Distribution Center (KDC) は、Kerberos 認証情報情報を管理する中央で信頼できる認証局として機能するサービスです。KDC は Kerberos チケットを発行し、IdM ネットワーク内のエンティティーから送信されるデータの信頼性を確保します。

詳細は IdM KDC のロール を参照してください。

LDAP
LDAP (Lightweight Directory Access Protocol) は、ネットワーク経由で分散ディレクトリー情報サービスにアクセスし、維持するためのオープンで、ベンダーに依存しないアプリケーションプロトコルです。この仕様の一部は、ディレクトリー情報ツリー (DIT) です。これは、ディレクトリーサービスエントリーの DN (識別名) で設定される階層ツリー形式のデータを表します。LDAP は、ネットワーク内のディレクトリーサービスに関する ISO X.500 標準で規定されている DAP (Directory Access Protocol) の "lightweight" バージョンです。
軽量サブ CA

IdM では、軽量サブ CA は認証局 (CA) で、証明書が IdM ルート CA またはその下位の CA のいずれかによって署名されます。軽量のサブ CA は、VPN 接続または HTTP 接続のセキュリティーを保護するなど、特定目的でのみ証明書を発行します。

詳細は、証明書のサブセットだけを信頼するアプリケーションの制限 を参照してください。

パスワードポリシー

パスワードポリシーは、特定の IdM ユーザーグループのパスワードが満たさなければならない条件です。条件には、以下のパラメーターを含めることができます。

  • パスワードの長さ
  • 使用される文字クラスの数
  • パスワードの最大有効期間。

詳細は パスワードポリシーとは を参照してください。

POSIX 属性

POSIX 属性は、オペレーティングシステム間の互換性を維持するためのユーザー属性です。

Red Hat Identity Management 環境では、ユーザーの POSIX 属性には以下が含まれます。

  • cn (ユーザーの名前)
  • UID (アカウント名 (ログイン))
  • uidNumber (ユーザー番号 (UID))
  • gidNumber (プライマリーグループ番号 (GID))
  • homeDirectory (ユーザーのホームディレクトリー)

Red Hat Identity Management 環境では、グループの POSIX 属性には以下が含まれます。

  • cn (グループ名)
  • gidNumber (グループ番号 (GID))

これらの属性は、ユーザーおよびグループを個別のエンティティーとして識別します。

レプリカ合意

レプリカ合意は、同じ IdM デプロイメントの 2 つの IdM サーバー間の合意です。レプリカ合意は、データと設定が 2 台のサーバー間で継続的に複製されることを保証します。

IdM は、2 種類のレプリカ合意を使用します。ID 情報を複製する ドメインレプリカ の合意と、証明書情報を複製する 証明書のレプリカ の合意です。

詳細は、以下を参照してください。

スマートカード
スマートカードは、リソースへのアクセスを制御するために使用されるリムーバブルデバイスまたはカードです。集積回路 (IC) チップを搭載したプラスチック製のクレジットカードサイズのカード、Yubikey などの小型 USB デバイス、またはその他の同様のデバイスになります。スマートカードは、ユーザーがスマートカードをホストコンピューターに接続でき、そのホストコンピューターのソフトウェアは、スマートカードに保存されている鍵マテリアルと相互作用してユーザーを認証できます。
SSSD
SSSD (System Security Services Daemon) は、RHEL ホストでユーザー認証およびユーザー認可を管理するシステムサービスです。SSSD は、必要に応じて、オフライン認証時に、リモートプロバイダーから取得したユーザー ID および認証情報のキャッシュを保持します。詳細は SSSD とその利点について を参照してください。
SSSD バックエンド
SSSD バックエンド (通常はデータプロバイダーとも呼ばれます) は、SSSD キャッシュを管理し、作成する SSSD 子プロセスです。このプロセスは LDAP サーバーと通信し、異なるルックアップクエリーを実行し、結果をキャッシュに保存します。また、LDAP または Kerberos に対してオンライン認証を実行し、ログインするユーザーにアクセスポリシーおよびパスワードポリシーを適用します。
TGT (Ticket-granting ticket)

Kerberos Key Distribution Center (KDC) に認証した後、ユーザーはチケット保証チケット (TGT) を受け取ります。このチケットは、Web サイトや電子メールなどの他のサービスにアクセスチケットを要求するのに使用できる認証情報の一時的なセットです。

TGT を使用してさらにアクセスを要求すると、ユーザーは複数のサービスにアクセスするために一度だけ認証する必要があるため、ユーザーはシングルサインオンのエクスペリエンスが得られます。TGT は更新可能で、Kerberos チケットポリシーはチケット更新の制限とアクセス制御を決定します。

詳細は Kerberos チケットポリシーの管理 を参照してください。

Web server
Web サーバーは、コンピューターのソフトウェアで、ページ、イメージ、アプリケーションなどの Web コンテンツの要求を受け入れる基本となるハードウェアです。Web ブラウザーなどのユーザーエージェントは、HTTP を使用して特定のリソース、Web コンテンツの配布に使用されるネットワークプロトコル、またはそのセキュアバリアントの HTTPS を要求します。Web サーバーは、そのリソースの内容またはエラーメッセージで応答します。Web サーバーは、ユーザーエージェントから送信されたリソースを受け入れ、保存することもできます。Red Hat Identity Management (IdM) は、Apache Web Server を使用して IdM Web UI を表示し、Directory Server や認証局 (CA) などのコンポーネント間の通信を調整します。Apache Web Server を参照してください。

その他の用語集

この用語に Identity Management 用語が見つからない場合は、Directory Server and Certificate System の用語を参照してください。