4.2. LDAP から IdM への移行時のクライアント設定の計画
Identity Management は、さまざまなレベルの機能性、柔軟性、安全性で多数の異なるクライアント設定に対応することができます。オペレーティングシステムと、IT メンテナンスの優先度に基づいて、各クライアントに最適な設定を決定します。クライアントの機能領域も考慮してください。開発マシンは通常、実稼働サーバーやユーザーラップトップとは異なる設定を必要とします。
ほとんどの環境では、クライアントが IdM ドメインに接続する方法が混在しています。管理者は各クライアント別に最適となるシナリオを決定しなければなりません。
4.2.1. 初期の移行前のクライアント設定
Identity Management (IdM) でクライアント設定の詳細を決定する前に、現在の移行前設定の詳細を確立します。
移行予定の LDAP デプロイメントの初期の状態の場合、ほとんど全てに ID および認証サービスを提供している LDAP サービスがあります。
図4.1 基本的な LDAP ディレクトリーとクライアント設定
![IPA 移行の初期状態](https://access.redhat.com/webassets/avalon/d/Red_Hat_Enterprise_Linux-8-Migrating_to_Identity_Management_on_RHEL_8-ja-JP/images/31cef67abfda034d42aee82b5098f2e6/IPA_Migration_Initial_State.png)
Linux および Unix のクライアントは PAM_LDAP と NSS_LDAP ライブラリーを使用して、LDAP サービスに直接接続します。これらのライブラリーにより、クライアントは、/etc/passwd
または /etc/shadow
にデータが格納されているかのように LDAP ディレクトリーからユーザー情報を取得できます。現実的には ID 検索に LDAP、認証に Kerberos や別の設定を使用している場合など、インフラストラクチャーはもう少し複雑になる場合があります。
LDAP ディレクトリーと Identity Management (IdM) サーバーの間には、特にスキーマサポートとディレクトリーツリーに構造的な違いがあります。これらの相違点の背景については 、LDAP から IdM への移行時のクライアント設定の計画 のIdM と標準 LDAP ディレクトリー の比較 セクションを参照してください。このような相違は、特にディレクトリーツリーのデータに影響を及ぼし、エントリー名に影響を及ぼします。ただし、この相違はクライアントの設定、およびクライアントの IdM への移行にはほとんど影響を及ぼしません。
4.2.2. RHEL クライアントに推奨される設定
説明されているクライアント設定は、最新バージョンの SSSD および ipa-client
パッケージに対応する RHEL 6.1 以降および RHEL 5.7 以降でのみ対応しています。古いバージョンの RHEL は、対応している別の設定 の説明に従って設定できます。
Red Hat Enterprise Linux (RHEL) の System Security Services Daemon (SSSD) は、特殊な PAM ライブラリーおよび NSS ライブラリー (pam_sss
および nss_sss
) を使用します。このライブラリーを使用すると、SSSD が Identity Management (IdM) と非常に密接に統合し、完全な認証機能および ID 機能の利点を活用できます。SSSD には、ID 情報のキャッシュなど、便利な機能が多数あります。これにより、中央サーバーへの接続が失われた場合でも、ユーザーがログインできるようになります。
汎用の LDAP ディレクトリーサービス (pam_ldap
および nss_ldap
を使用する) とは異なり、SSSD は ドメイン 定義によって ID 情報と認証情報間の関係を確立します。SSSD のドメインは、以下のバックエンド機能を定義します。
- 認証
- Identity ルックアップ
- アクセス
- パスワードの変更
次に、SSSD ドメインは、プロバイダー を使用してこれらの機能のいずれかまたはすべてに情報を提供するように設定されます。ドメイン環境設定には常にIDプロバイダーが必要です。他の 3 つのプロバイダーはオプションです。認証、アクセス、またはパスワードプロバイダーが定義されていない場合は ID プロバイダーがその機能に使用されます。
SSSD は、そのすべてのバックエンド機能に IdM を使用できます。これは、LDAP ID の汎用プロバイダーや Kerberos 認証とは異なり、IdM 機能のすべての範囲を提供するため理想的な設定です。たとえば、SSSD では 日常的な運用時に IdM でセキュリティー機能やホストベースのアクセス制御ルールを有効化させることができます。
図4.2 IdM バックエンドのあるクライアントおよび SSSD
![migr sssd2](https://access.redhat.com/webassets/avalon/d/Red_Hat_Enterprise_Linux-8-Migrating_to_Identity_Management_on_RHEL_8-ja-JP/images/b7fb8794f9aa6d82bca4657131a6543b/migr-sssd2.png)
ipa-client-install
スクリプトは、すべてのバックエンドサービスに IdM を使用するように SSSD を自動的に設定するため、RHEL クライアントはデフォルトで推奨される設定で設定されます。
関連情報
4.2.3. 推奨設定以外で対応している設定
Mac、Solaris、HP-UX、AIX、Scientific Linux などの Unix および Linux システムでは IdM で管理されるすべてのサービスに対応していますが SSSD は使用しません。同様に、古い Red Hat Enterprise Linux (RHEL) バージョン (特に 6.1 および 5.6) は SSSD に対応していますが、IdM を ID プロバイダーとしてサポートしていない古いバージョンがあります。
システムで最新バージョンの SSSD を使用できない場合は、以下の方法でクライアントを設定できます。
-
クライアントは、
nss_ldap
を使用して、ID 検索で LDAP ディレクトリーサーバーであるかのように IdM サーバーに接続します。 -
クライアントは、
pam_krb5
を使用して、通常の Kerberos KDC であるかのように IdM サーバーに接続します。
IdM サーバーを ID プロバイダーおよび Kerberos 認証ドメインとして使用するように古いバージョンの SSSD を持つ RHEL クライアントを設定する方法は、RHEL 7 システムレベルの認証ガイド の SSSD の ID プロバイダーおよび認証プロバイダー セクションを参照してください。
図4.3 LDAP および Kerberos を使用するクライアントおよび IdM
![migr ldap](https://access.redhat.com/webassets/avalon/d/Red_Hat_Enterprise_Linux-8-Migrating_to_Identity_Management_on_RHEL_8-ja-JP/images/9f7d489ad9aa9e3590f7a18a19875728/migr-ldap.png)
一般的には、クライアントで可能な限り安全な設定を使用することがベストプラクティスとなります。これは、ID の SSSD または LDAP、および認証の Kerberos を意味します。ただし、メンテナンス状況や IT 構造によっては、最も単純な例 (クライアントで nss_ldap
ライブラリーおよび pam_ldap
ライブラリーを使用して ID と認証の両方を提供するように LDAP を設定) に頼る必要があります。