6.2. アイデンティティー管理を使用した Linux システムの Active Directory への間接統合
間接統合により、Linux システムが最初に集中型サーバーに接続し、次に集中型サーバーが Active Directory (AD) に接続します。間接統合により、管理者は Linux システムとポリシーを一元管理でき、AD のユーザーは透過的に Linux システムとサービスにアクセスできます。
- AD を使用したフォレスト間の信頼に基づく統合
Identity Management (IdM) サーバーは、Linux システムを制御する集中型サーバーとして機能します。AD を使用したレルム間の Kerberos 信頼が確立され、AD のユーザーが Linux システムおよびリソースにログインしてアクセスできるようになります。IdM は、それ自体を別のフォレストとして AD に提示し、AD で対応しているフォレストレベルの信頼を利用します。
信頼を使用すると、以下が可能になります。
- AD ユーザーは、IdM リソースにアクセスできます。
- IdM サーバーおよびクライアントは、AD のユーザーおよびグループの ID を解決できます。
- AD ユーザーおよびグループは、ホストベースのアクセス制御など、IdM が定義する条件下で IdM にアクセスします。
- AD ユーザーおよびグループは、引き続き AD 側で管理されます。
- 同期に基づく統合
このアプローチは WinSync ツールに基づいています。WinSync レプリカ合意は、AD から IdM へユーザーアカウントを同期します。
警告WinSync は、Red Hat Enterprise Linux 8 で積極的に開発されなくなりました。間接統合に推奨されるソリューションはフォレスト間の信頼です。
同期に基づく統合の制限は次のとおりです。
- グループは、IdM から AD に同期されません。
- AD と IdM にユーザーが重複しています。
- WinSync は、1 つの AD ドメインのみをサポートします。
- IdM 内の 1 つのインスタンスへのデータ同期には、AD のドメインコントローラーを 1 つだけ使用できます。
- ユーザーパスワードを同期する必要があります。そのためには、PassSync コンポーネントを AD ドメイン内のすべてのドメインコントローラーにインストールする必要があります。
- すべての AD ユーザーは、同期を設定してから手動でパスワードを変更しないと、PassSync を同期できません。
