クライアントについて:
-
OSは何で何台か?
-
クライアント側がサポートされるのはRHELの場合のみ
-
-
SSSDが利用できるOS
- → SSSDのバージョンにより利用できる機能がかわるので要確認
-
SSSDが利用できないOS
- → LDAP、Kerberosで接続できるがあまりスケールしないので要注意
サーバについて:
-
必要サーバ数について
-
最低2システムは必要
-
IdMが壊れると全システムに影響するため可用性対策として必要
-
ネットワーク的にとても近い場合をのぞけば 2 × データセンタ数 あるとよい
-
マルチマスタレプリケーションによるActive-Active構成が基本
-
-
1サーバあたり目安としてはクライアント2000〜3000台程度
-
サポート上限は60台
-
-
サーバ構成について
-
物理サーバ・仮想サーバのどちらでもよい
-
メモリ量の目安
-
For 10,000 users and 100 groups: at least 3 GB of RAM and 1 GB swap space
-
For 100,000 users and 50,000 groups: at least 16 GB of RAM and 4 GB of swap space
-
-
IPv6を有効にすることが必須
-
サーバはFQDN必須
-
サーバはDNSの正引き逆引きが可能であること
-
RHEL 7の最新での構築を推奨
-
SELinuxをenforcingで利用することを推奨
-
※ コンテナ対応は現在のところtechnology preview
-
利用したい機能を決める:
-
DNS
-
IdM内蔵のDNSを利用するか、外部のDNSを利用するか
-
内蔵DNSを使う場合、root zoneをもたせるかどうか
-
クライアントからIdMの自動検出・自動冗長化、ドメイン参加による自動登録が可能
-
-
OTP
-
IdM内蔵のHOTP/TOTPか、サードパーティOTPソリューションをRADIUSで統合か
-
-
スマートカード認証
-
ドキュメントに動作確認済みスマートカード一覧があるので確認する
-
-
パスワードポリシー設定
-
DNS
-
自動ディスカバリ、負荷分散に必要
-
利用を推奨
-
-
CA局
-
サービスとユーザ用
-
外部CA局から発行された証明書を利用するか?
-
CA局は必ず2つ以上作成する
-
-
SSH公開鍵配布
-
ホストのfinterprintをDNSで配るかLDAPで配るか決める
-
-
sudoer配布
-
SSSDによるキャッシュが必須(RHEL 7.0+, 6.6+)
-
-
NFS automount mapping
-
HBAC
-
Active Directory とのCross realm trustによるWindowsからのSSO
-
ADとIdMは別のドメインである必要がある
-
-
Webアプリケーションの認証統合
-
同一ドメインのみ
-
別ドメインの場合はRed Hat SSOなどを利用したOpenID ConnectやSAMLでの接続を検討する
-
NG:
-
ロードバランサによる負荷分散はしない(サポート対象外)
-
通常はDNSで行うので不要。DNS利用できない場合はクライアント側SSSDにサーバを列挙
-
-
1台だけで構築しない
-
ADや既存の他Kerberosと同じドメインにしない
-
一部のパッケージだけを更新しない。更新するときは全てを更新する。
0 件のコメント:
コメントを投稿