赤帽基盤部


*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著:「Identity Management or Red Hat Directory Server – Which One Should I Use?
執筆:Dmitri Pal
翻訳:ソリューションアーキテクト 森若 和雄

Red Hatは、アイデンティティ管理サーバーとして2種類の製品を提供しています。 Red Hat Enterprise Linuxに同梱されるIdentity Management (IdM)と、Red Hat Directory Server (RHDS) です。今回は、なぜ2つの製品があるのか、環境にあわせてどちらが良いのか、またどのように判断すべきかについてご説明します。

細かいところを見る前に、IdMとRHDSをきちんと定義しておきましょう。IdMはドメインコントローラです。主な目的は、企業のアイデンティティ情報を管理することです。Red Hat Enterprise Linuxのコンポーネントで、追加費用なし(つまりRed Hat Enterprise Linux Serverサブスクリプションに含まれています)で利用できるようになっています。一方、RHDSは完全な機能を持つディレクトリサーバー(DS)で、任意のビジネスアプリケーションを作成するためのツールです。IdMとは違って独立した製品であり、別途有償です。

RHDSのような一般的なディレクトリサーバーを企業のアイデンティティ情報を集約するサーバーとして利用できるのではないか、やりたければできるのではないか、と疑問に思われるかもしれません。答えは”可能”です。RHDSを、企業のアイデンティティ情報を集約するサーバーとして利用できることは間違いありません。実際のところ、多くの企業が長年にわたって(IdMが登場する前から)そうしてきました。つまり、純粋なDSでは提供されない、または多くのカスタム開発が必要となる多数のしくみと機能をIdMは提供しています。これがIdMを特徴づけています。さらに、IdMはDSによる配備での経験によって得られたベストプラクティスを実装しています。これらにより、IdMはDSベースのカスタムソリューションと比較するといくつかの点で異なります。IdMの利点がわかったとしても、これらの違いによりDSによるソリューションからIdMによるソリューションへの移行は少し難しくなります。DSを利用していて、DSからIdMへの移行準備ができていない場合には RHDSは良い選択肢です。

企業のアイデンティティ情報は別にして、アイデンティティ管理の別の重要な別の大きなエリアとしては、ビジネスアプリケーションがあります。たとえば、あなたの会社が顧客に有償のオンラインサービスを行っているとしましょう。このようなアプリケーションでは、通常顧客のアカウント情報と認証用のクレデンシャルを保存する必要があります。伝統的にディレクトリサーバーはこの仕事のための最良のテクノロジーでした。RHDSをあなたのビジネスアプリケーションのバックエンドとするのは論理的な選択です。

このようなケース(ビジネスアプリケーションのアイデンティティ管理)で、IdMは利用できるのでしょうか?おそらくできますが、そうとも言い切れません。通常ビジネスアプリケーションはスキーマと呼ばれるDSのデータ構造に多数のカスタマイズを必要とします。DSのスキーマ変更は通常のことで、十分想定されています。IdMのスキーマ変更は慎重に、特定のルールに則って行う必要があります。なぜでしょうか?理由は、IdMはいろいろな相互に連携して動作するコンポーネントを含んでいるためです。これらのコンポーネントはデータ構造についていくつかの想定を持っているので、不注意なIdMのスキーマ変更はそれらのコンポーネントに不具合を起こすかもしれません。IdMは柔軟性を考慮して作成されていて、変更ができないわけではありません。IdMのスキーマを安全に変更することができますが、FreeIPAプロジェクトで説明されているいくつかの特定のルールに従う必要があります。

上記を踏まえると、以下のようにまとめられます:

  • IdMを利用するケース:企業内で集中管理されたアイデンティティ管理の機能を活用したい場合
  • RHDSを利用するケース:ビジネスアプリケーションを開発していてLDAPバックエンドが必要か、既にディレクトリサーバーを企業のアイデンティティ情報管理に利用しており、別の技術に移行する準備ができていない場合

次回は、証明書について見ていく予定です。