第26章 ID 管理
Identity Management (IdM) は、標準定義の一般的なネットワークサービス (PAM、LDAP、Kerberos、DNS、NTP、証明書サービスなど) で統合環境を提供します。IdM を使用すると、Red Hat Enterprise Linux システムがドメインコントローラーとして機能できます。[25]
Red Hat Enterprise Linux では、ipa-server パッケージにより IdM サーバーが提供されます。以下のコマンドを実行して、ipa-server パッケージがインストールされているかどうかを確認します。
~]$ rpm -q ipa-server
package ipa-server is not installed
インストールされていない場合は、root ユーザーになり、以下のコマンドを入力してインストールします。
~]# yum install ipa-server
26.1. ID 管理と SELinux
Identity Management では、IdM アクセス権に SELinux コンテキストを指定できるように、ホストごとに設定した SELinux ロールに、IdM ユーザーをマッピングできます。ユーザーログインプロセス中に、
SSSD
(System Security Services Daemon) は特定の IdM ユーザーに定義したアクセス権限をクエリーします。そして、pam_selinux
モジュールは、IdM のアクセス権 (guest_u:guest_r:guest_t:s0
など) に従って、適切な SELinux コンテキストでユーザープロセスを起動するように、カーネルにリクエストを送信します。
Identity Management および SELinux の詳細は、Red Hat Enterprise Linux 7 の Linux Domain, Identity, Authentication, and Policy Guide を参照してください。
26.1.1. Active Directory ドメインへの信頼
以前のバージョンの Red Hat Enterprise Linux では、Identity Management で
WinSync
ユーティリティーを使用して、Active Directory (AD) ドメインのユーザーが IdM ドメインに保存されているデータにアクセスできるようにしました。これを行うには、WinSync
が、AD サーバーからローカルサーバーにユーザーとグループのデータを複製し、データの同期を維持する必要がありました。
Red Hat Enterprise Linux 7 では、
SSSD
デーモンが AD と連携するように拡張され、ユーザーは IdM ドメインと AD ドメイン間に信頼関係を作成できるようになりました。ユーザーおよびグループのデータは、AD サーバーから直接読み取られます。また、AD ドメインおよび IdM ドメイン間でのシングルサインオン (SSO) 認証を可能にする Kerberos レルム間の信頼も提供されます。SSO を設定すると、AD ドメインのユーザーは、パスワードを必要とせずに、IdM ドメインに保存されている Kerberos で保護されているデータにアクセスできます。
この機能は、デフォルトではインストールされません。これを使用するには、追加の ipa-server-trust-ad パッケージをインストールします。
[25]
Identity Management の詳細は、Red Hat Enterprise Linux 7 の Linux Domain, Identity, Authentication, and Policy Guide を参照してください。