40.4. IdM ホストとユーザーの登録と認証: 比較
IdM のユーザーとホストの間には多くの類似点があります。この類似点には、登録ステージで見られるものと、デプロイメントステージでの認証に関係するものがあります。
登録段階 (ユーザーおよびホストの登録):
-
管理者は、ユーザーまたはホストが実際に IdM に参加する前に、ユーザーとホストの LDAP エントリーを作成できます。コマンドは、ステージユーザーの場合は
ipa stageuser-add
で、ホストの場合はipa host-add
です。 -
ホストで
ipa-client-install
コマンドを実行すると、キーテーブル (または略してキータブ)、(ある程度ユーザーパスワードに類似する) 対称キーを含むファイルが作成され、ホストが IdM レルムに参加します。同様に、ユーザーはアカウントをアクティブ化するときにパスワードを作成するように求められ、IdM レルムに参加します。 - ユーザーパスワードは、ユーザーのデフォルトの認証方法ですが、キータブはホストのデフォルトの認証方法です。キータブは、ホストのファイルに保存されます。
表40.1 ユーザーおよびホストの登録 アクション ユーザー ホスト 登録前
$ ipa stageuser-add user_name [--password]
$ ipa host-add host_name [--random]
アカウントのアクティブ化
$ ipa stageuser-activate user_name
$ ipa-client install [--password] (ホスト自体で実行する必要があります)
-
管理者は、ユーザーまたはホストが実際に IdM に参加する前に、ユーザーとホストの LDAP エントリーを作成できます。コマンドは、ステージユーザーの場合は
デプロイメント段階 (ユーザーおよびホストセッションの認証):
- ユーザーが新しいセッションを開始すると、ユーザーはパスワードを使用して認証を行います。同様に、切り替え時に、ホストがそのキータブファイルを提示して認証を行います。SSSD (System Security Services Daemon) は、このプロセスをバックグラウンドで管理します。
- 認証が成功すると、ユーザーまたはホストは、Kerberos チケット発行許諾チケット (TGT) を取得します。
- 次に、TGT を使用して、特定のサービスの特定のチケットを取得します。
表40.2 ユーザーおよびホストセッションの認証 ユーザー ホスト 認証のデフォルト手段
パスワード
キータブ
セッションの開始 (通常のユーザー)
$ kinit user_name
[ホストへの切り替え]
認証成功の結果
TGT は、特定サービスへのアクセスの取得に使用されます。
TGT は、特定サービスへのアクセスの取得に使用されます。
TGT およびその他の Kerberos チケットは、サーバーにより定義された Kerberos サービスおよびポリシーの一部として生成されます。Kerberos チケットの最初の付与、Kerberos 認証情報の更新、および Kerberos セッションの破棄もすべて IdM サービスにより自動的に処理されます。
IdM ホストの代替認証オプション
キータブとは別に、IdM は、その他の 2 つのタイプのマシン認証にも対応しています。
- SSH 鍵。ホストの SSH 公開キーが作成され、ホストエントリーにアップロードされます。そこから、SSSD (System Security Services Daemon) は IdM を ID プロバイダーとして使用し、OpenSSH およびその他のサービスと一緒に機能して、IdM の中央にある公開鍵を参照できます。
- 機械の証明書。この場合、マシンは IdM サーバーの認証局により発行され、IdM の Directory Server に保存されている SSL 証明書を使用します。次に、証明書はマシンに送信され、サーバーに対する認証時に提示されます。クライアントでは、証明書は certmonger というサービスにより管理されます。