1.3. IdM のサーバーおよびクライアントの概要
Identity Management (IdM) ドメインには、以下のタイプのシステムが含まれます。
- IdM クライアント
IdM クライアントは、サーバーに登録され、このサーバーで IdM サービスを使用するように設定された Red Hat Enterprise Linux システムです。
クライアントは、IdM サーバーと対話して、そのサーバーが提供するサービスにアクセスします。たとえば、クライアントは、Kerberos プロトコルを使用して認証を実行し、企業のシングルサインオン (SSO) のチケットを取得し、LDAP を使用して ID 情報およびポリシー情報を取得し、DNS を使用してサーバーとサービスの場所と、その接続方法を検出します。
- IdM サーバー
IdM サーバーは、IdM ドメイン内の ID、認証、および認可の要求に応答する Red Hat Enterprise Linux システムです。ほとんどのデプロイメントでは、IdM サーバーとともに統合認証局 (CA) がインストールされています。
IdM サーバーは、ID 情報およびポリシー情報の中央リポジトリーです。IdM サーバーは、ドメインメンバーが使用する任意のサービスをホストすることもできます。
- 認証局 (CA)
- KRA (Key Recovery Authority)
- DNS
- Active Directory (AD) 信頼コントローラー
- Active Directory (AD) 信頼エージェント
IdM サーバーは、組み込み IdM クライアントでもあります。クライアントが自身に登録されるため、サーバーは、他のクライアントと同じ機能を提供します。
冗長性と可用性だけでなく、多数のクライアントにサービスを提供するため、IdM では 1 つのドメインに複数の IdM サーバーをデプロイできます。最大 60 台のサーバーをデプロイできます。これは、IdM ドメインで現在サポートされている、レプリカとも呼ばれる IdM サーバーの最大数です。IdM サーバーは、クライアントにさまざまなサービスを提供します。すべてのサーバーが、可能なサービスをすべて提供する必要があるわけではありません。Kerberos や LDAP などの一部のサーバーコンポーネントは、常にすべてのサーバーで利用できます。その他のサービス (CA、DNS、Trust Controller、Vault など) は必要に応じて使用します。つまり、デプロイメントでは、通常、さまざまなサーバーがさまざまなロールを果たしています。
IdM トポロジーに統合 CA が含まれている場合は、1 台のサーバーで 証明書失効リスト (CRL) パブリッシャーサーバー のロール、1 台のサーバーで CA 更新サーバー のロールがあります。
デフォルトでは、最初にインストールした CA サーバーはこの 2 つのロールに対応しますが、これらのロールを別のサーバーに割り当てることができます。
CA 更新サーバー は、CA サブシステムの 証明書および鍵 を追跡するドメインで唯一のシステムであるため、IdM デプロイメントにとっては極めて重要です。IdM デプロイメントに影響する障害からの復旧方法の詳細は、Identity Management を使用した障害復旧の実行 を参照してください。
管理者は、既存のサーバーの レプリカ を作成して追加のサーバーを作成し、冗長化および負荷分散を図ります。レプリカの作成時、IdM は既存サーバーの設定を複製します。レプリカは、ユーザー、システム、証明書、設定されたポリシーなど、そのコア設定を初期サーバーと共有します。
CA 更新 と CRL パブリッシャー のロール以外は、レプリカと、レプリカを作成したサーバーは機能的に同じです。そのため、ここでは サーバー と レプリカ という用語を、文脈に応じて同じ意味で使用します。
