Identity Manager (IdM)とは?

Red Hat Enterprise Linux に付属するID管理ソフトウェアです。upstreamはfreeipaです。

できること:

• Red Hat Enterprise Linux上でのユーザ、ホスト、サービスの認証をおこないます
• 一般的なプロトコル(LDAP, Kerberos)を利用しているので他社製品での認証にも利用できます
• 認証, sudo, automount, sshの公開鍵などを管理

できないこと:

• 汎用的なLDAPサーバではありません。認証に特化しています。
• 他社製品の中のクライアント側のサポートはできません。
  • http://www.freeipa.org/page/ConfiguringUnixClients upstreamであるfreeipaのサイトでは他社製品の設定も紹介されています
• WindowsのID管理を統合するものではありません

実装上の特徴:

• 標準技術の組み合わせにより実装されています
  • そのため特に「IdMに対応」していない古いRHELやUnix系OSからも利用することができます
• 非常にセキュア側に倒して機能を制限しています
  • パスワード再発行時には管理者が発行したあと必ずユーザー自身による再設定が強制される
  • パスワードのハッシュ値そのものは管理者であっても通常のクエリでは見えないし、設定もできない
  • パスワードはハッシュ値のみしか保持しない
• Active Directory連携
  • Active DirectoryからIdMへパスワード更新をレプリケーションすることができます
  • IdMからActive Directoryへはレプリケーションできません
  • Cross realm trustにより、ADで発行したチケットを利用してIdMで認証、またはその逆が可能です。これによりWindows環境とLinux環境をまたいだシングルサインオンを実現します(RHEL7.0以降に同梱されるIdMから。クライアントはRHEL6.4以降)
• 移行支援
  • NISやLDAPからの移行をサポートするスクリプトとドキュメントが同梱されています
• UI
  • WebとコマンドラインでのUIが用意されています
• 可用性
  • 20マルチマスタまでサポートし、高可用性はマルチマスタ構成と、
  • SSSDのキャッシュ機能により実現します。
• identity managerはいろいろなOSSを組みあわせて実装されています。
  • NTPd, 389DirectoryServer (LDAPサーバ), MIT Kerberos, bind (DNSサーバ)など既存のもの
  • freeipa, dogtag, ipa-otpdなど新規に作成されたもの
• Identity ManagerではActive Directoryに似た「ドメイン」の概念を導入しています。
  • 基本的にIdentity Managerは1ドメインの管理しかおこないません。
  • クライアント側はSSSDにより複数のドメインに参加することができます。クライアント数に制限はありません。

費用に関連する特徴:

• RHEL Serverに同梱されていて追加費用はかかりません
• アカウント数や接続数が増えても特に追加費用はかかりません
• 直接ADに問いあわせる場合と比べてCALを減らせます。特にCross realm trustによる連携をおこなう場合, ADと連携してシングルサインオンが可能でありつつもIdMで管理されているのでADのCALが不要です。

FAQ:

• IdMをつかわずにActive Directoryに直接といあわせたらいいんじゃないの?
  • はい。そうやって構成することもできます(Direct Integrationと呼ばれています)
  • 台数が少ない場合(30台くらいまで)ならいいかもしれません。多いとCALの費用が気になるはずです。
  • https://msdn.microsoft.com/en-us/library/cc731178.aspx によると、Identity Management for Unix はdeprecatedになりましたのでMSからサポートされる手順がなくなっているようです。
• IdMをRHELでつかうときに注意することは?
  • 管理される側のRHELバージョンによりIdMのどの機能をサポートしているかなどの詳細が変わります。

• サーバの前提条件は以下にまとまっています

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/prereqs.html

• Windowsの認証をおこなえますか?
  • サポートされませんし推奨もされませんが、WindowsにMIT Kerberosのクライアントを入れればできなくはないとおもわれます。
  • WindowsについてはADで管理し、Linux, UnixについてはIdMでというのが現実的なIdMの利用モデルです。

ドキュメント

• RHEL7のドキュメントに関連するドキュメントが含まれています。
  • Linux Domain Identity, Authentication, and Policy Guide
  • System-Level Authentication Guide
• upstreamは freeipa.org で、こちらにも多数のドキュメントがあります。 http://www.freeipa.org/page/Documentation