1.2. 一般的な IdM のお客様のシナリオとその解決策
Linux 環境と Windows 環境の両方における一般的なアイデンティティー管理とアクセス制御のユースケースとその解決策の例を紹介します。
- シナリオ 1
状況
あなたは会社の Windows 管理者です。
Windows システムとは別に、管理する Linux システムもいくつかあります。
環境のどの部分の制御も Linux 管理者に委任できないため、Active Directory (AD) ですべてのセキュリティー制御を処理する必要があります。
解決方法
sudo
ルールを LDAP サーバーで一元的に定義する場合は、AD ドメインコントローラー (DC) にスキーマ拡張を実装する必要があります。この拡張を実装する権限がない場合は、Identity Management (IdM) のインストールを検討してください。以下の「シナリオ 3」を参照してください。IdM にはすでにスキーマ拡張が含まれているため、sudo
ルールを IdM で直接管理 できます。将来さらに Linux のスキルが必要になると予想される場合のさらなるアドバイス
Linux コミュニティーに接続して、他のユーザーがユーザー、ホスト、サービスなどの ID をどのように管理しているかを確認してください。
ベストプラクティスを調べてください。
Linux に慣れてください。
- 可能な限り、RHEL Web コンソール を使用してください。
- 可能な限り、コマンドラインで簡単なコマンドを使用してください。
- Red Hat システム管理コースに参加してください。
- シナリオ 2
状況
あなたは会社の Linux 管理者です。
Linux ユーザーには、会社のリソースへのさまざまなレベルのアクセスが必要です。
Linux マシンの厳密で一元的なアクセス制御が必要です。
解決方法
IdM をインストールし、ユーザーをそこに移行します。
将来的に規模拡大が予想される場合のさらなるアドバイス
IdM をインストールしたら、ホストベースのアクセス制御 と sudo ルール を設定します。これらは、制限されたアクセスと最小限の特権のセキュリティーのベストプラクティスを維持するために必要です。
セキュリティー目標を達成するために、プロトコルを使用してインフラストラクチャー層とアプリケーション層の両方を保護する一貫したアイデンティティーおよびアクセス管理 (IAM) 戦略を策定します。
- シナリオ 3
状況
あなたは会社の Linux 管理者であり、Linux システムを会社の Windows サーバーと統合する必要があります。Linux システムへのアクセス制御の唯一のメンテナーであり続けたいと考えています。
ユーザーが異なれば、Linux システムへのアクセスレベルも異なりますが、それらはすべて AD に存在します。
解決方法
AD 制御は十分に堅牢ではないため、Linux 側で Linux システムへのアクセス制御を設定する必要があります。IdM をインストールし、IdM-AD 信頼を確立 します。
環境のセキュリティーを強化するためのさらなるアドバイス
IdM をインストールしたら、ホストベースのアクセス制御 と sudo ルール を設定します。これらは、制限されたアクセスと最小限の特権のセキュリティーのベストプラクティスを維持するために必要です。
セキュリティー目標を達成するために、プロトコルを使用してインフラストラクチャー層とアプリケーション層の両方を保護する一貫したアイデンティティーおよびアクセス管理 (IAM) 戦略を策定します。
- シナリオ 4
状況
セキュリティー管理者は、すべての Red Hat 製品を含むすべての環境で ID とアクセスを管理する必要があります。すべての ID を 1 か所で管理し、すべてのプラットフォーム、クラウド、製品にわたってアクセス制御を維持する必要があります。
解決方法
IdM、Red Hat Single Sign-On、Red Hat Satellite、Red Hat Ansible Automation Platform などの Red Hat 製品を統合します。
- シナリオ 5
状況
国防総省 (DoD) またはインテリジェンスコミュニティー (IC) 環境のセキュリティーおよびシステム管理者は、スマートカードまたは RSA 認証を使用する必要があります。PIV 証明書または RSA トークンを使用する必要があります。
解決方法
- IdM で証明書マッピングを設定 します。
- IdM-AD 信頼が存在する場合は、GSSAPI 委任が有効になっていることを確認してください。
- IdM で RSA トークンの radius 設定の使用を設定します。
- スマートカード認証 用に IdM サーバーと IdM クライアントを設定します。