1.2. 一般的な IdM のお客様のシナリオとその解決策

以下は、Linux と Windows 環境の両方での一般的な ID 管理とアクセス制御の使用例と、それらのソリューションの例です。

シナリオ 1

状況

あなたは会社の Windows 管理者です。

Windows システムとは別に、管理する Linux システムもいくつかあります。

環境のどの部分の制御も Linux 管理者に委任できないため、Active Directory (AD) ですべてのセキュリティー制御を処理する必要があります。

解決方法

Integrate your Linux hosts to AD directly.

sudo ルールを LDAP サーバーで一元的に定義する場合は、AD ドメインコントローラー (DC) にスキーマ拡張を実装する必要があります。この拡張機能の実装が許可されていない場合は、Identity Management (IdM) のインストールを検討してください - 以下のシナリオ 3 を参照してください。IdM にはすでにスキーマ拡張が含まれているため、sudo ルールを IdM で直接管理 できます。

将来さらに Linux のスキルが必要になると予想される場合のさらなるアドバイス

Linux コミュニティーに接続して、他のユーザーがユーザー、ホスト、サービスなどの ID をどのように管理しているかを確認してください。

ベストプラクティスを調査します。

Linux に慣れてください。

  • 可能な限り RHEL Web コンソール を使用してください。
  • 可能な限り、コマンドラインで簡単なコマンドを使用してください。
  • Red Hat システム管理コースに参加してください。

シナリオ 2

状況

あなたは会社の Linux 管理者です。

Linux ユーザーには、会社のリソースへのさまざまなレベルのアクセスが必要です。

Linux マシンの厳密で一元的なアクセス制御が必要です。

解決方法
IdM をインストール し、ユーザーをそこに移行します。
あなたの会社が将来的に拡大することを期待している場合のさらなるアドバイス

IdM をインストールしたら、ホストベースのアクセス制御sudo ルール を設定します。これらは、制限されたアクセスと最小限の特権のセキュリティーのベストプラクティスを維持するために必要です。

セキュリティー目標を達成するには、プロトコルを使用してインフラストラクチャー層とアプリケーション層の両方を保護する、まとまりのある ID およびアクセス管理 (IAM) 戦略を開発します。

シナリオ 3

状況

あなたは会社の Linux 管理者であり、Linux システムを会社の Windows サーバーと統合する必要があります。Linux システムへのアクセス制御の唯一のメンテナーであり続けたいと考えています。

ユーザーが異なれば、Linux システムへのアクセスレベルも異なりますが、それらはすべて AD に存在します。

解決方法
AD 制御は十分に堅牢ではないため、Linux 側で Linux システムへのアクセス制御を設定する必要があります。IdM をインストールしIdM-AD 信頼を確立します
環境のセキュリティーを強化するためのさらなるアドバイス

IdM をインストールしたら、ホストベースのアクセス制御sudo ルール を設定します。これらは、制限されたアクセスと最小限の特権のセキュリティーのベストプラクティスを維持するために必要です。

セキュリティー目標を達成するには、プロトコルを使用してインフラストラクチャー層とアプリケーション層の両方を保護する、まとまりのある ID およびアクセス管理 (IAM) 戦略を開発します。

シナリオ 4

状況
セキュリティー管理者は、すべての Red Hat 製品を含むすべての環境で ID とアクセスを管理する必要があります。すべての ID を 1 か所で管理し、すべてのプラットフォーム、クラウド、製品にわたってアクセス制御を維持する必要があります。
解決方法
IdMRed Hat Single Sign-OnRed Hat SatelliteRed Hat Ansible Tower およびその他の Red Hat 製品を統合します。

シナリオ 5

状況
国防総省 (DoD) またはインテリジェンスコミュニティー (IC) 環境のセキュリティーおよびシステム管理者は、スマートカードまたは RSA 認証を使用する必要があります。PIV 証明書または RSA トークンを使用する必要があります。
解決方法
  1. IdM で証明書マッピングを設定します
  2. IdM-AD 信頼が存在する場合は、GSSAPI 委任が有効になっていることを確認してください。
  3. IdM で RSA トークンの radius 設定の使用を設定します。
  4. スマートカード認証用に IdM サーバーIdM クライアント を設定します。

関連情報