1.3. Introduction aux serveurs et clients IdM
Le domaine de la gestion des identités (IdM) comprend les types de systèmes suivants :
- Clients IdM
Les clients IdM sont des systèmes Red Hat Enterprise Linux enrôlés avec les serveurs et configurés pour utiliser les services IdM sur ces serveurs.
Les clients interagissent avec les serveurs IdM pour accéder aux services qu'ils fournissent. Par exemple, les clients utilisent le protocole Kerberos pour s'authentifier et obtenir des tickets pour l'authentification unique de l'entreprise (SSO), utilisent LDAP pour obtenir des informations sur l'identité et la politique, utilisent DNS pour détecter où se trouvent les serveurs et les services et comment s'y connecter.
- Serveurs IdM
Les serveurs IdM sont des systèmes Red Hat Enterprise Linux qui répondent aux demandes d'identité, d'authentification et d'autorisation au sein d'un domaine IdM. Dans la plupart des déploiements, une autorité de certification (AC) intégrée est également installée avec le serveur IdM.
Les serveurs IdM sont les dépositaires centraux des informations relatives à l'identité et à la politique. Les serveurs IdM peuvent également héberger les services optionnels utilisés par les membres du domaine :
- Autorité de certification (AC)
- Autorité de recouvrement des clés (ARK)
- DNS
- Contrôleur de confiance Active Directory (AD)
- Agent de confiance Active Directory (AD)
Les serveurs IdM sont également des clients IdM intégrés. En tant que clients inscrits avec eux-mêmes, les serveurs fournissent les mêmes fonctionnalités que les autres clients.
Pour fournir des services à un grand nombre de clients, ainsi que pour assurer la redondance et la disponibilité, IdM permet le déploiement sur plusieurs serveurs IdM dans un seul domaine. Il est possible de déployer jusqu'à 60 serveurs. C'est le nombre maximum de serveurs IdM, également appelés répliques, qui est actuellement pris en charge dans le domaine IdM. Les serveurs IdM fournissent différents services au client. Tous les serveurs ne doivent pas nécessairement fournir tous les services possibles. Certains composants du serveur, comme Kerberos et LDAP, sont toujours disponibles sur chaque serveur. D'autres services comme CA, DNS, Trust Controller ou Vault sont optionnels. Cela signifie que les différents serveurs jouent généralement des rôles différents dans le déploiement.
Si votre topologie IdM contient une AC intégrée, un serveur joue le rôle de serveur d'édition de la liste de révocation des certificats (CRL) et un serveur joue le rôle de serveur de renouvellement de l'AC.
Par défaut, le premier serveur CA installé remplit ces deux rôles, mais vous pouvez attribuer ces rôles à des serveurs distincts.
Le site CA renewal server est essentiel pour votre déploiement IdM, car il s'agit du seul système du domaine responsable du suivi des certificats et des clés du sous-système CA. Pour plus d'informations sur la reprise après un sinistre affectant votre déploiement IdM, reportez-vous à la section Reprise après sinistre avec Identity Management.
Pour assurer la redondance et l'équilibrage de la charge, les administrateurs créent des serveurs supplémentaires en créant une réplique ( replica ) d'un serveur existant. Lors de la création d'une réplique, IdM clone la configuration du serveur existant. Une réplique partage avec le serveur initial sa configuration de base, y compris les informations internes sur les utilisateurs, les systèmes, les certificats et les politiques configurées.
Une réplique et le serveur à partir duquel elle a été créée sont fonctionnellement identiques, à l'exception des rôles CA renewal et CRL publisher. Par conséquent, les termes server et replica sont utilisés ici de manière interchangeable en fonction du contexte.