2015年5月7日

Identity Manager (IdM)とは?


Red Hat Enterprise Linux に付属するID管理ソフトウェアです。upstreamはfreeipaです。

できること:

  • Red Hat Enterprise Linux上でのユーザ、ホスト、サービスの認証をおこないます
  • 一般的なプロトコル(LDAP, Kerberos)を利用しているので他社製品での認証にも利用できます
  • 認証, sudo, automount, sshの公開鍵などを管理

できないこと:

  • 汎用的なLDAPサーバではありません。認証に特化しています。
  • 他社製品の中のクライアント側のサポートはできません。
  • WindowsID管理を統合するものではありません

実装上の特徴:

  • 標準技術の組み合わせにより実装されています
    • そのため特に「IdMに対応」していない古いRHELUnixOSからも利用することができます
  • 非常にセキュア側に倒して機能を制限しています
    • パスワード再発行時には管理者が発行したあと必ずユーザー自身による再設定が強制される
    • パスワードのハッシュ値そのものは管理者であっても通常のクエリでは見えないし、設定もできない
    • パスワードはハッシュ値のみしか保持しない
  • Active Directory連携
    • Active DirectoryからIdMへパスワード更新をレプリケーションすることができます
    • IdMからActive Directoryへはレプリケーションできません
    • Cross realm trustにより、ADで発行したチケットを利用してIdMで認証、またはその逆が可能です。これによりWindows環境とLinux環境をまたいだシングルサインオンを実現します(RHEL7.0以降に同梱されるIdMから。クライアントはRHEL6.4以降)
  • 移行支援
    • NISLDAPからの移行をサポートするスクリプトとドキュメントが同梱されています
  • UI
    • WebとコマンドラインでのUIが用意されています
  • 可用性
    • 20マルチマスタまでサポートし、高可用性はマルチマスタ構成と、
    • SSSDのキャッシュ機能により実現します。
  • identity managerはいろいろなOSSを組みあわせて実装されています。
    • NTPd, 389DirectoryServer (LDAPサーバ), MIT Kerberos, bind (DNSサーバ)など既存のもの
    • freeipa, dogtag, ipa-otpdなど新規に作成されたもの
  • Identity ManagerではActive Directoryに似た「ドメイン」の概念を導入しています。
    • 基本的にIdentity Manager1ドメインの管理しかおこないません。
    • クライアント側はSSSDにより複数のドメインに参加することができます。クライアント数に制限はありません。


費用に関連する特徴:

  • RHEL Serverに同梱されていて追加費用はかかりません
  • アカウント数や接続数が増えても特に追加費用はかかりません
  • 直接ADに問いあわせる場合と比べてCALを減らせます。特にCross realm trustによる連携をおこなう場合, ADと連携してシングルサインオンが可能でありつつもIdMで管理されているのでADCALが不要です。

FAQ:

  • IdMをつかわずにActive Directoryに直接といあわせたらいいんじゃないの?
    • はい。そうやって構成することもできます(Direct Integrationと呼ばれています)
    • 台数が少ない場合(30台くらいまで)ならいいかもしれません。多いとCALの費用が気になるはずです。
    • https://msdn.microsoft.com/en-us/library/cc731178.aspx によると、Identity Management for Unix deprecatedになりましたのでMSからサポートされる手順がなくなっているようです
  • IdMRHELでつかうときに注意することは?
    • 管理される側のRHELバージョンによりIdMのどの機能をサポートしているかなどの詳細が変わります。
  • サーバの前提条件は以下にまとまっています
  • Windowsの認証をおこなえますか?
    • サポートされませんし推奨もされませんが、WindowsMIT Kerberosのクライアントを入れればできなくはないとおもわれます。
    • WindowsについてはADで管理し、Linux, UnixについてはIdMでというのが現実的なIdMの利用モデルです。

ドキュメント

RHEL 5 ELS inclusion listでてた

Red Hat Enterprise Linux 5 ELS Inclusion List https://access.redhat.com/articles/2901071  が公開されてた。 なかなか範囲が狭くて厳しい。あとインターネットに直接晒されるようなプログラムがの...