赤帽基盤部


*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著:「Identity Management and Certificates
執筆:Dmitri Pal
翻訳:ソリューションアーキテクト 森若 和雄

Red Hat Enterprise Linux の アイデンティティ管理(IdM)は、任意で利用できるCertificate Authority(CA)コンポーネントを含んでいます。このCAは、Red Hat Certificate System(RHCS)に含まれているものと同じです。もし同じであるなら、IdMとRHCSはどのような関係にあるのでしょうか? 片方がもう片方を置き換えるような 、秘密の計画があるのでしょうか?今回では、それぞれの製品についての詳細と異なるユースケースを見ながら、より適切な製品を選ぶための指針をご紹介します。(訳注:Red Hat Certificate Systemは現在、日本での取扱いおよびサポートの提供はありません。)

前回のコラムで説明したように、IdMはRed Hat Enterprise Linuxのコンポーネントで、サブスクリプションに含まれています。ひとことで言えば、IdMは企業内のアイデンティティ管理に特化しています。上で触れたように、現在IdMはRHCSと同じコミュニティプロジェクト(Dogtag)に由来するCAコンポーネントを含んでいます。

一方、RHCSは独立した製品です(かつ、Red Hat Enterprise Linuxサブスクリプションには含まれません)。RHCSは、Dogtagコミュニティプロジェクトで利用可能な全てのコンポーネントを含んでいます。

IdMには、Dogtagで利用可能なコンポーネント全ては含まれていません。今のところIdMの証明書に関連した機能はごくわずかです。IdMはホストとサービスの証明書を発行する一方で、ユーザー、デバイス、クライアントの証明書は発行しません。さらに、IdMはスマートカードやエスクローキーの管理もしません。今後どのような機能が加わるのか興味のお持ちの方、あるいはコミュニティに参加して新機能を追加してみたいという方は、www.FreeIPA.org と関連するメーリングリストを見てみましょう。(訳注:RHEL7.3のIdMはユーザーの証明書を発行する機能と、スマートカードを利用した認証機能を提供しています。)

理屈上では、IdMは将来的にDogtagプロエジェクトの追加のコンポーネントを取り込むかもしれません。では、これによってRHCSは陳腐化してしまうのでしょうか? 答えはおそらくノーです。その主な理由は、スコープにあります。 IdMは企業に関連したアイデンティティ情報を扱い、これらのアイデンティティ情報は同じ組織に属しています (言い変えると、1つの名前空間を共有しています)。IdMでの全ての証明書操作は、一般にこの名前空間の中についてのものです。ある意味で、これは同一のKerberosドメインのIdMサーバー郡に閉じた、制御された環境です。

その反面、RHCSは名前空間に縛られません。あるRHCSは互いに完全に独立したユーザー、デバイス、サービスの証明書を発行することができます。たとえば認証局サービスの提供を考えているのであれば、RHCSはソリューションを構築するための良いサーバーになるでしょう。あるいは、ある企業内で証明書を発行・管理する必要があるのであれば、IdMはより良い選択肢となるでしょう。つまり、RHCSは企業内のアイデンティティ情報を管理するために利用できるだけでなく、必要があれば内部向けの証明書や、外部(顧客やパートナーなど)向けの証明書も発行できます。

多くのシナリオで、RHCS(社内用のroot CAとして)とIdM(内部アイデンティティ情報用の下位CAとして)は、その両方を利用することに意味があります。

これまで見てきたように、IdMとRHCSにはいくつもの類似点がありますが、それぞれのソリューションのユースケースは大きく異なるため、少なくとも今のところは片方だけにまとめたり、片方を完全に削除してしまうのは無理があります。将来的には、異なる目的のためのそれぞれの証明書を発行することを含むRHCSの機能の多くがIdMに含まれ、複数の名前空間をIdMの中で制御できるようになるかもしれません。これには非常に多くの作業が必要ですが、可能ではあります。…ひょっとすると将来、実現するアプローチかもしれません。