検索

55.2. Identity Management におけるリソースベースの制約付き委任

download PDF

リソースベースの制約付き委任 (RBCD) は、次のような複数の点で一般的な制約付き委任とは異なります。

  • 粒度: RBCD では、委任はリソースレベルで指定されます。
  • アクセス許可の責任: RBCD では、アクセスは Kerberos 管理者ではなくサービス所有者によって制御されます。

一般的な制約付き委任では、Service for User to Proxy (S4U2proxy) 拡張機能が、ユーザーに代わって別のサービスのサービスチケットを取得します。2 番目のサービスは通常、ユーザーの承認コンテキストの下で、最初のサービスに代わって作業を実行するプロキシーです。制約付き委任を使用することで、ユーザーが Ticket Granting Ticket (TGT) を完全に委任する必要がなくなります。

Identity Management (IdM) は従来、Kerberos S4U2proxy 機能を使用して、Web サーバーフレームワークがユーザーの代わりに LDAP サービスチケットを取得することを可能にするものです。

IdM が Active Directory (AD) と統合されると、IdM フレームワークは制約付き委任も使用して、IdM 側と Active Directory 側の両方の SMB および DCE RPC エンドポイントを含むさまざまなサービスに対してユーザーに代わって動作します。

IdM ドメイン内のアプリケーションがユーザーに代わって別のサービスに対して動作する必要がある場合は、委任権限が必要です。一般的な制約付き委任では、ドメイン管理者が、最初のサービスが次のサービスにユーザー認証情報を委任できるようにするルールを明示的に作成する必要があります。RBCD を使用すると、認証情報が委任されるサービスの所有者が委任権限を作成できます。

IdM-AD 統合で、両方のサービスが同じ IdM ドメインの一部である場合は、IdM 側で RBCD 権限を付与できます。

重要

現在、RBCD ルールで設定できるのは、IdM ドメイン内のサービスのみです。ターゲットサービスが AD ドメインの一部である場合、パーミッションは AD 側でのみ付与できます。AD ドメインコントローラーは IdM サービス情報を解決してルールを作成することができないため、この機能は現在サポートされていません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.