2018年6月22日

Red Hat Identity Management or FreeIPA 利用前にチェックするべき項目

クライアントについて:
  • OSは何で何台か?
    • クライアント側がサポートされるのはRHELの場合のみ
  • SSSDが利用できるOS
    • → SSSDのバージョンにより利用できる機能がかわるので要確認
  • SSSDが利用できないOS
    • → LDAPKerberosで接続できるがあまりスケールしないので要注意
サーバについて:
  • 必要サーバ数について
    • 最低2システムは必要
      • IdMが壊れると全システムに影響するため可用性対策として必要
      • ネットワーク的にとても近い場合をのぞけば 2 × データセンタ数 あるとよい
      • マルチマスタレプリケーションによるActive-Active構成が基本
    • 1サーバあたり目安としてはクライアント20003000台程度
    • サポート上限は60
  • サーバ構成について
    • 物理サーバ・仮想サーバのどちらでもよい
    • メモリ量の目安
      • For 10,000 users and 100 groups: at least 3 GB of RAM and 1 GB swap space
      • For 100,000 users and 50,000 groups: at least 16 GB of RAM and 4 GB of swap space
    • IPv6を有効にすることが必須
    • サーバはFQDN必須
    • サーバはDNSの正引き逆引きが可能であること
    • RHEL 7の最新での構築を推奨
    • SELinuxenforcingで利用することを推奨
    • コンテナ対応は現在のところtechnology preview
利用したい機能を決める:
  • DNS
    • IdM内蔵のDNSを利用するか、外部のDNSを利用するか
    • 内蔵DNSを使う場合、root zoneをもたせるかどうか
    • クライアントからIdMの自動検出・自動冗長化、ドメイン参加による自動登録が可能
  • OTP
    • IdM内蔵のHOTP/TOTPか、サードパーティOTPソリューションをRADIUSで統合か
  • スマートカード認証
    • ドキュメントに動作確認済みスマートカード一覧があるので確認する
  • パスワードポリシー設定
  • DNS
    • 自動ディスカバリ、負荷分散に必要
    • 利用を推奨
  • CA
    • サービスとユーザ用
    • 外部CA局から発行された証明書を利用するか?
    • CA局は必ず2つ以上作成する
  • SSH公開鍵配布
    • ホストのfinterprintDNSで配るかLDAPで配るか決める
  • sudoer配布
    • SSSDによるキャッシュが必須(RHEL 7.0+, 6.6+)
  • NFS automount mapping
  • HBAC
  • Active Directory とのCross realm trustによるWindowsからのSSO
    • ADIdMは別のドメインである必要がある
  • Webアプリケーションの認証統合
    • 同一ドメインのみ
    • 別ドメインの場合はRed Hat SSOなどを利用したOpenID ConnectSAMLでの接続を検討する
NG:
  • ロードバランサによる負荷分散はしない(サポート対象外)
    • 通常はDNSで行うので不要。DNS利用できない場合はクライアント側SSSDにサーバを列挙
  • 1台だけで構築しない
  • ADや既存の他Kerberosと同じドメインにしない
  • 一部のパッケージだけを更新しない。更新するときは全てを更新する。

/proc/1/io を見るとsystemdがすごくI/Oしてそうに見える件メモ

/proc/1/io を見ると systemdがI/O大量にやっている(ように見える)のが腑におちなくてちょっとしらべました。 task_io_accounting_add という関数があってioの集計情報を足すのですが その関数がexit時によばれて子プロセスのio統計が...