第17章 認証および相互運用性

Apache モジュールのセットが Red Hat Enterprise Linux 6.6 にテクノロジープレビューとして追加されました。Web アプリケーションで mod_authnz_pam、mod_intercept_form_submit、および mod_lookup_identity Apache モジュールを使用すると、Web アプリケーションで外部認証や ID ソースとの連携を深めることができます(Red Hat Enterprise Linux の Identity Management など)。

Kerberos バージョン 1.10 では、新しいキャッシュストレージタイプ DIR: が追加されました。これにより、Kerberos は複数の鍵配布センター(KDC)のチケット保証チケット(TGT)を同時に維持し、Kerberized リソースでのネゴシエート時にそれらの間の自動選択を行うことができます。Red Hat Enterprise Linux 6.4 以降では、SSSD が強化され、ユーザーが SSSD を使用してログインしているユーザーの DIR: キャッシュを選択できるようになります。この機能はテクノロジープレビューとして導入されています。

パッケージ： sssd-1.13.3

Identity Management (IdM)が提供するデフォルトの Kerberos Trust 機能は、テクノロジープレビューとして提供されています。この機能により、IdM と Active Directory (AD)ドメインの間に信頼関係を作成できます。つまり、AD ドメインのユーザーは、AD 認証情報を使用して、IdM ドメインのリソースおよびサービスにアクセスできます。IdM と AD ドメインコントローラーの間でデータを同期する必要はありません。AD ユーザーは、AD ドメインコントローラーに対して認証され、同期を必要とせずにユーザーの情報が検索されます。

この機能は、オプションの ipa-server-trust-ad パッケージにより提供されます。このパッケージは、samba4 でのみ利用できる機能によって異なります。samba4-* パッケージは、対応する samba-* パッケージと競合するため、ipa-server-trust-ad をインストールする前に、すべての samba-* パッケージを削除する必要があります。

ipa-server-trust-ad パッケージをインストールすると、IdM が信頼を処理できるように、すべての IdM サーバーおよびレプリカで ipa-adtrust-install ユーティリティーを実行する必要があります。これを実行すると、ipa trust-add コマンドまたは IdM Web UI を使用して、コマンドラインから信頼を確立できます。詳細は、Red Hat Enterprise Linux の 『Identity Management Guide』 を参照してください。

Red Hat は、Red Hat Enterprise Linux 6 IdM クライアントを Red Hat Enterprise Linux 7 IdM サーバーに接続してフォレスト間の信頼機能を確保することを推奨します。信頼は、Red Hat Enterprise Linux 7 を実行するサーバーで完全にサポートされています。Red Hat Enterprise Linux 6 クライアントを Red Hat Enterprise Linux 7 サーバーに接続してフォレスト間の信頼を確立する設定も、完全にサポートされています。このような設定では、クライアント側に最新の Red Hat Enterprise Linux 6 を、サーバー側に最新の Red Hat Enterprise Linux 7 を使用することを推奨します。

パッケージ - ipa-3.0.0 および samba-3.6.23