赤帽基盤部


*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著:「Overview of Indirect Active Directory Integration Using Identity Management (IdM)
執筆:Dmitri Pal
翻訳:ソリューションアーキテクト 森若 和雄

Linux/UNIXシステムをActive Directory(AD)環境に統合するための直接統合と対になる選択肢は、間接統合です。Linuxシステムはまず中央サーバーに接続し、このサーバーはADに(なんとかして)接続されています。このアプローチは新しいものではありません。何年にもわたって、多くの環境でユーザーがADに登録されているなかで、Linux/UNIXシステムを管理するためのLDAPサーバーが構築されてきました。この2つをうまく協調させ、ADのユーザーがLinuxシステムにアクセスできるようにするため、ユーザー情報とそのパスワードが定期的にADからLDAPサーバーへ同期されていました。このアプローチは、動作はするものの極めて制限が厳しく、問題が起こりがちです。つけ加えるなら、LDAPサーバーを別途構築することにはそれほど価値はありません。このような構成をとる主な理由としては、Linux管理者とWindows管理者の責任範囲を分離することがあります。結果として、価値がそれほどないにもかかわらずオーバーヘッドは大きなものとなっていました。

IdM(FreeIPAテクノロジーにもとづくRed Hat Enterprise Linuxのアイデンティティ管理)が登場したときには、多くの環境は直接統合を検討しているか、導入途上でした。IdMはどのように働くのでしょうか? IdMは、ADのようにLinuxとUNIXのドメインコントローラとして動作しますが、ネイティブプロトコルを扱い、LinuxとUNIXクライアントが期待しているネイティブのオブジェクトを提供します。ネイティブプロトコルとポリシーの集中管理(ホストベースアクセスコントロール、sudo、automount、SELinuxユーザーマッピング)およびKerberosベースのシングルサインオンは、IdMをLinux環境を集中管理するための非常に魅力的なオプションとしています。(残っている)難点として、ADユーザーがIdMドメインのリソースにアクセスするためには、ユーザーをADからIdMに同期する必要がありました。

Red Hat Enterprise Linux 7でFreeIPA 3.3が導入され、IdMとADを統合する推奨手順はクロスフォレスト信頼によるものとなりました。信頼関係により、ADドメインで認証されたユーザーは、Kerberosチケットを認証の証明としてIdMドメインのシステムやサービスにアクセスすることができます。パスワードやユーザーアカウントの同期は不要です。ADフォレスト間と同じく、Kerberosチケット交換が標準のKerberosプロトコルに従って完了します。IdMは間接統合の欠点をなくし、利点だけを残しました。具体的には:

  • Linuxクライアントは集中管理されます。認証、アイデンティティの参照、ポリシー管理は中央のサーバーで行われます。これはしばしば各種のコンプライアンス目標にも合致します。
  • Linuxクライアントは、LinuxネイティブのプロトコルとLinux/UNIXの伝統的な手法(LDAP, Kerberos, POSIX)で管理されます。これにより、相互運用性が維持されます。
  • ADユーザーの認証はAD内で行われます。監査基準に適合するための助けとなります。
  • Linuxシステムの管理をLinux管理者に簡単に移譲できます。それぞれの役割に応じた責任の分離と権限の移譲が簡単に実現できます。ADとLinuxそれぞれのグループがコントロールを持つことで、(同じ会社であっても)グループ間の調整に必要な時間とコストを削減できます。
  • 追加のコストが発生しないので、企業のビジネス上の必要に応じてLinux環境を自然に追加することが可能です。
    ユーザー情報と/またはパスワードの同期が不要です。
  • 上に列挙した利点は、ソリューションを導入する会社が専任のLinux管理グループを持っている場合には特に顕著となります。これは大企業では典型的なものです。そのようなグループを持たない、より小さな環境の場合には、別のサーバーを構築することはオーバーヘッドとなり得るので、SSSDまたは(先進的な機能が必要であれば)サードパーティ製品による直接統合からはじめる選択肢が有力になります。

Linuxに「水を流してみる」場合には、小さく直接統合からはじめるのがよいでしょう。しかし、管理すべき環境が大きくなり、要件が複雑になってしまったら……、Linuxベースインフラの中央管理ハブとしてIdMを構築することは一考に値します。次回は、信頼関係の詳細について扱います。