第122章 IdM での制約付き委任の使用
Identity Management (IdM) で制約付き委任機能を使用する方法を説明します。
- Identity Managementの制約付き委任 は、制約付き委任がどのように機能するかを説明しています。
-
スマートカードで認証されたユーザーが再認証を求められることなくリモートホストに SSH 接続できるように Web コンソールを設定する では、認証を必要とせずに、Red Hat Enterprise Linux Web コンソールを使用してリモートホストに
SSH 接続
するコンテキストでの制約付き委任のユースケースについて説明します。 -
認証を必要とせずに、Ansible を使用して スマートカードで認証されたユーザーが再認証を求められることなくリモートホストに SSH 接続できるように Web コンソールを設定する では、Red Hat Enterprise Linux Web コンソールを使用してリモートホストに
SSH
接続するコンテキストでの制約付き委任のユースケースについて説明します。 -
スマートカードで認証されたユーザーが認証を求められずに sudo を実行できるように Web コンソールクライアントを設定 では、Red Hat Enterprise Linux Web コンソールを使用して認証を必要とせずに
sudo
を実行するコンテキストでの制約付き委任のユースケースについて説明します。 -
Ansible を使用して Web コンソールを設定し、スマートカードで認証されたユーザーが再認証を求められることなく sudo を実行できるようにする では、Ansible を使用して Red Hat Enterprise Linux Web コンソールの使用を設定するコンテキストで、認証を必要とせずに
sudo
を実行する制約付き委任のユースケースについて説明します。
122.1. アイデンティティー管理における制約付き委任
Service for User to Proxy (S4U2proxy
) 拡張機能は、ユーザーに代わって他のサービスに対するサービスチケットを取得するサービスを提供します。この機能は、制約付き委任と 呼ばれています。2 番目のサービスは通常、ユーザーの承認コンテキストの下で、最初のサービスに代わって何らかの作業を実行するプロキシーです。制約付き委任を使用することで、ユーザーが Ticket Granting Ticket (TGT) を完全に委任する必要がなくなります。
Identity Management (IdM) は従来、Kerberos S4U2proxy
機能を使用して、Web サーバーフレームワークがユーザーの代わりに LDAP サービスチケットを取得することを可能にするものです。また、IdM-AD の信頼システムも、cifs
プリンシパルを取得するために制約付き委任を使用しています。
S4U2proxy
機能を使用して Web コンソールクライアントを設定し、スマートカードで認証された IdM ユーザーが以下を達成できるようにすることができます。
- Web コンソールサービスが実行されている RHEL ホストで、再度認証を求められることなく、スーパーユーザー権限でコマンドを実行します。
-
SSH
を使用してリモートホストにアクセスし、再度認証を求められることなくホスト上のサービスにアクセスします。