3.2. IdM のサーバーおよびクライアントの概要
Identity Management (IdM) ドメインには、以下のタイプのシステムが含まれます。
- IdM クライアント
IdM クライアントは、サーバーに登録され、このサーバーで IdM サービスを使用するように設定された Red Hat Enterprise Linux システムです。
クライアントは、IdM サーバーと対話して、そのサーバーが提供するサービスにアクセスします。たとえば、クライアントは、Kerberos プロトコルを使用して認証を実行し、企業のシングルサインオン (SSO) のチケットを取得し、LDAP を使用してアイデンティティーおよびポリシー情報を取得し、DNS を使用してサーバーとサービスの場所と、その接続方法を検出します。
- IdM サーバー
IdM サーバーは、IdM ドメイン内の IdM クライアントからのアイデンティティー、認証、および認可要求に応答する Red Hat Enterprise Linux システムです。IdM サーバーは、ID 情報およびポリシー情報の中央リポジトリーです。また、ドメインメンバーが使用する任意のサービスもホストできます。
- 認証局 (CA): このサービスは、ほとんどの IdM デプロイメントに存在します。
- キーリカバリー認証局 (KRA)
- DNS
- Active Directory (AD) 信頼コントローラー
- Active Directory (AD) 信頼エージェント
IdM サーバーは、組み込み IdM クライアントでもあります。クライアントが自身に登録されるため、サーバーは、他のクライアントと同じ機能を提供します。
冗長性と可用性だけでなく、多数のクライアントにサービスを提供するため、IdM では 1 つのドメインに複数の IdM サーバーをデプロイできます。最大 60 台のサーバーをデプロイできます。これは、IdM ドメインで現在サポートされている、レプリカとも呼ばれる IdM サーバーの最大数です。
レプリカの作成時、IdM は既存サーバーの設定を複製します。レプリカは、ユーザー、システム、証明書、設定されたポリシーなど、そのコア設定を初期サーバーと共有します。
- 注記
- CA 更新 と CRL パブリッシャー のロール以外は、レプリカと、レプリカを作成したサーバーは機能的に同じです。したがって、RHEL IdM ドキュメントでは、サーバー と レプリカ という用語を、文脈に応じて同じ意味で使用します。
ただし、設定によっては、別々の IdM サーバーで別々のサービスをクライアントに提供できます。Kerberos や LDAP などのコアコンポーネントは、すべてのサーバーで利用できます。その他のサービス (CA、DNS、Trust Controller、Vault など) は必要に応じて使用します。そのため、各 IdM サーバーがデプロイメント内で異なる役割を持つことができます。
IdM トポロジーに統合 CA が含まれている場合は、1 台のサーバーで 証明書失効リスト (CRL) パブリッシャーサーバー のロール、1 台のサーバーで CA 更新サーバー のロールがあります。
デフォルトでは、最初にインストールした CA サーバーはこの 2 つのロールに対応しますが、これらのロールを別のサーバーに割り当てることができます。
CA 更新サーバー は、CA サブシステムの 証明書および鍵 を追跡するドメインで唯一のシステムであるため、IdM デプロイメントにとっては極めて重要です。IdM デプロイメントに影響する障害からの復旧方法の詳細は、Identity Management を使用した障害復旧の実行 を参照してください。
- 注記
- すべての IdM サーバー(クライアントの場合は、IdM クライアントをインストールするためのサポートされているバージョンの RHELを参照)は、同じメジャーおよびマイナーバージョンの RHEL で実行している必要があります。トポロジー内の IdM サーバーのアップグレードや、数日を超えて z-stream 更新を適用しないようにしてください。Z ストリーム修正を適用し、サーバーをアップグレードする方法は、IdM パッケージの更新 を参照 してください。RHEL 9 上の IdM に移行する方法の詳細は、RHEL 8 サーバーから RHEL 9 サーバーへの IdM 環境の移行 を参照してください。
