Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Copyright Red Hat K.K. All rights reserved.
Red Hat Enterprise Linuxの認証基盤
Identity Management
Red Hat K.K. Solution Archit...
Copyright Red Hat K.K. All rights reserved.2
このスライドの位置づけ
●
前提
– RHELに同梱のIdentity Managementが
割とよいのにあまり使われていなさそう……
●
対象
– 「...
Copyright Red Hat K.K. All rights reserved.3
Agenda
● 「Identity Management」で扱うもの
● Identity Managementの目標
●
主なコンポーネント
● Id...
Copyright Red Hat K.K. All rights reserved.4
「Identity Management」って何?
● Red Hat Enterprise Linuxに同梱されるアイデンティティ管理基盤
– LDAP...
Copyright Red Hat K.K. All rights reserved.5
「Identity Management」で扱うもの
(1/2)
●
アイデンティティ
– ユーザ情報がどこにあるか?
– どのような属性をもっているか?...
Copyright Red Hat K.K. All rights reserved.6
「Identity Management」で扱うもの
(2/2)
● アクセスコントロール/認可
– どのユーザがどのシステム・サービス・
アプリケーショ...
Copyright Red Hat K.K. All rights reserved.7
Identity Managementの目標(1/2)
●
アイデンティティ管理基盤をシンプルに提供す
る
● PCI DSS, USGCB, STIGな...
Copyright Red Hat K.K. All rights reserved.8
Identity Managementの目標(2/2)
●
日々の運用コストを削減する
●
基盤にかかるコストを削減する
●
企業の混在環境全体にわたるシ...
Copyright Red Hat K.K. All rights reserved.9
Identity Managementの主なコンポーネン
ト
● Identity Management (FreeIPA/IdM)
– 以下を統合
● ...
Copyright Red Hat K.K. All rights reserved.10
FreeIPA/IdM
● Linux/UNIX環境用のドメインコントローラ
– 「Linuxドメイン」を作成・管理
● OSSプロジェクトFreeIP...
Copyright Red Hat K.K. All rights reserved.1111
FreeIPA/IdM
Linux
UNIX
Admin
KDC
LDAP
PKI
DNS
CLI/UI
Copyright Red Hat K.K. All rights reserved.12
SSSD (System Security Services
Daemon)
●
クライアント側のコンポーネント
● Red Hat Enterpris...
Copyright Red Hat K.K. All rights reserved.1313
SSSD 概要図
アイデンティティ
ソース
認証ソース
Client
プログラム
Client
プログラム
Client
プログラム
SSSD
ドメ...
Copyright Red Hat K.K. All rights reserved.1414
●
クライアント側のコンポーネント
●
認証局サーバに接続して証明書をリクエストする
●
証明書を追跡して自動更新する
Certmonger
Copyright Red Hat K.K. All rights reserved.15
Keycloak IdP (Red Hat SSO)
●
アイデンティティプロバイダの実装
● 異なるWebアプリケーション間で SAML, OpenI...
Copyright Red Hat K.K. All rights reserved.1616
●
Apache httpdで利用されるモジュール
●
フォームベース認証、Kerberos認証、証明書ベース
認証、SAML認証をサポートするモジ...
Copyright Red Hat K.K. All rights reserved.1717
アーキテクチャの例
IdM
Linux System
アプリケーション
モジュール
SSSD
Active
Directory
keycloak
I...
Copyright Red Hat K.K. All rights reserved.18
Identity Managementの概要
Copyright Red Hat K.K. All rights reserved.19
Identity Managementの概要
● Kerberosによる企業内ユーザへのSSO提供
● Active Directoryとの連携
– S...
Copyright Red Hat K.K. All rights reserved.20
ステップ:
●
ユーザアカウントを統合
● ユーザデータをIdMへロード
● Linux/UNIXシステムをIdMへ接続
– ipa-client-in...
Copyright Red Hat K.K. All rights reserved.21
Kerberosによるシングルサインオン
ユーザ
(Principal)
Client
サービス
チケット (ST)
TGT
KDC (IdM)
リソー...
Copyright Red Hat K.K. All rights reserved.22
● あらかじめサービスの鍵を作成してkeytabへ登録(0)
● Kerberosに接続されたシステムにユーザがログイン(1)
– Kerberos K...
Copyright Red Hat K.K. All rights reserved.23
Active Directoryとの連携
Windows Linux UNIX
Active
Directory
IdM
直接的な統合
Active D...
Copyright Red Hat K.K. All rights reserved.24
直接的な統合
Windows Linux UNIX
Active
Directory ●
Active Directoryドメイ
ンにLinux/UNI...
Copyright Red Hat K.K. All rights reserved.2525
●
サードパーティ製品を利用する
●
以前からある方法
– pam_krb5/pam_ldap, nss_ldap, nslcd
– winbind...
Copyright Red Hat K.K. All rights reserved.26
SSSD による直接的な統合
Active Directory
DNS LDAP KDC
ADはsudoとautomountに拡張可
能
SFU/IMU...
Copyright Red Hat K.K. All rights reserved.2727
間接的な統合
Active
Directory
IdM
Windows Linux UNIX
● Active DIrectoryと
Identit...
Copyright Red Hat K.K. All rights reserved.28
間接的な統合のオプション
●
信頼ベースのソリューション
– ADとIdM間でクロスレルムKerberos信頼を設定
● ADのユーザがLinuxシステ...
Copyright Red Hat K.K. All rights reserved.29
信頼ベースのIdM - AD統合
IdM
DNS LDAP KDCPKI
Active
Directory
DNSLDAPKDC PKI
Linux S...
Copyright Red Hat K.K. All rights reserved.30
信頼関係によるシングルサインオン(1/2)
IdM
Active
Directory
クロスレルム信頼
linux@IdM
host/linux@IdM...
Copyright Red Hat K.K. All rights reserved.31
信頼関係によるシングルサインオン(2/2)
user: admin@AD
ticket:
host/linux@IdM
1 - AS-REQ
4 - C...
Copyright Red Hat K.K. All rights reserved.32
●
あるフォレストのユーザが別のフォレストの
リソースにアクセスできるようにする
●
あらかじめ信頼関係を構成する
– 2つのフォレスト間で暗号化鍵を共...
Copyright Red Hat K.K. All rights reserved.33
●
SFU/IMUによるPOSIX属性対応
– Windows 2012R2 Serverから
deprecated
●
IdMによるADのSIDからU...
Copyright Red Hat K.K. All rights reserved.34
●
ホストベースアクセス制御
– どのユーザ(群)が
– どのホスト(群)から
– どのサービスへアクセスでき
るか
●
コンソール, ssh, sud...
Copyright Red Hat K.K. All rights reserved.35
●
ホストの公開鍵をクライアント
導入時にアップロード
●
ユーザの公開鍵をアップロード
●
システムAからシステムBへssh
するとき
– Bの公開鍵...
Copyright Red Hat K.K. All rights reserved.36
●
sudoers管理
– どのコマンド(群)を
– どのユーザ(群)が
– どのホスト(群)でsudo実行
できるか
●
ルールはクライアントで適用
...
Copyright Red Hat K.K. All rights reserved.37
●
集中的にマッピングを管理
●
SELinuxのMLS/MCSポリシーで利
用
●
ユーザとホストの組み合わせ毎にコ
ンテキストをマッピング
●
デフ...
Copyright Red Hat K.K. All rights reserved.38
●
場所ごとにマップを定義
● direct map, indirect map
● autofsクライアントに統合
– IdMはautofsサーバの設...
Copyright Red Hat K.K. All rights reserved.39
●
Dogtag Certificate SystemによるPKI基盤
●
Subjects
– Users, hosts, devices, serv...
Copyright Red Hat K.K. All rights reserved.40
●
ユーザ認証を証明書に
よって実施する
●
証明書またはスマート
カードをもつIdMユーザ
●
証明書またはスマート
カードをもつADユーザ
● Id...
Copyright Red Hat K.K. All rights reserved.41
●
IdM内蔵の二要素認証
– Yubikey, FreeOTP, Google
authenticator
– HOTP/TOTP互換
– LDAPま...
Copyright Red Hat K.K. All rights reserved.42
SAMLによるシングルサインオン
アプリケーション
フレームワーク
Identity Provider
(RH SSOなど)
Apache
SAML m...
Copyright Red Hat K.K. All rights reserved.43
1. ユーザはブラウザでアプリケーションを開く
2. SAMLモジュールが適切なassertionがあるかチェックして
IdPにリダイレクト
3. Id...
Copyright Red Hat K.K. All rights reserved.44
SAMLによるシングルサインオン
● IdMだけではSAMLによるシングルサインオン
はできません
– IdMはIdentity Sourceとして利用...
Copyright Red Hat K.K. All rights reserved.45
まとめ
● 「Red Hat Identity Management」はRed Hat
Enterprise Linuxに同梱されるアイデンティティ管理...
Copyright Red Hat K.K. All rights reserved.46
参考文献
● RHELドキュメント
– Linux ドメイン ID、認証、およびポリシーガイド
http://red.ht/2hYBk9h
– Wind...
Prochain SlideShare
Chargement dans…5
×

Red Hat Enterprise Linuxの認証基盤Identity Management

3 410 vues

Publié le

RHELのIdentity Management(IdM)でどんなことができるのか紹介します

Publié dans : Technologie
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

Red Hat Enterprise Linuxの認証基盤Identity Management

  1. 1. Copyright Red Hat K.K. All rights reserved. Red Hat Enterprise Linuxの認証基盤 Identity Management Red Hat K.K. Solution Architect Kazuo Moriwaka <kmoriwak@redhat.com> 2016-12-21
  2. 2. Copyright Red Hat K.K. All rights reserved.2 このスライドの位置づけ ● 前提 – RHELに同梱のIdentity Managementが 割とよいのにあまり使われていなさそう…… ● 対象 – 「RHEL同梱の認証基盤って聞いたことないけ どなにができるの?」という人 ● 目的 – 「RHEL IdMでだいたいこんなことができそ う」というイメージを持ってもらう – 利用手順などは扱いません
  3. 3. Copyright Red Hat K.K. All rights reserved.3 Agenda ● 「Identity Management」で扱うもの ● Identity Managementの目標 ● 主なコンポーネント ● Identity Managementの概要 – Kerberosによる企業内ユーザへのSSO提供 – Active Directoryとの連携 – Host based Access Control – ユーザとホストのSSH鍵管理 – sudo, SELinux ユーザマッピング、automountの集中管理 – ユーザ、ホスト、デバイス、サービスの証明書管理 – 二要素認証 – SAMLによるシングルサインオン
  4. 4. Copyright Red Hat K.K. All rights reserved.4 「Identity Management」って何? ● Red Hat Enterprise Linuxに同梱されるアイデンティティ管理基盤 – LDAPによるアイデンティティ情報管理 – 認証 ● パスワード認証、スマートカード認証 ● ワンタイムパスワード対応 ● Active Directoryとのクロスレルム認証 – 証明書発行 – PAM/NSSとの統合 – Apacheモジュールによるwebアプリケーションとの統合 – Linux/UNIX環境用の機能 ● sudoer, automount, ssh鍵管理 ……などをシンプルな操作で実現します
  5. 5. Copyright Red Hat K.K. All rights reserved.5 「Identity Management」で扱うもの (1/2) ● アイデンティティ – ユーザ情報がどこにあるか? – どのような属性をもっているか? – システムやアプリケーションからこれらのデータへどのよ うにアクセスするか? ● 認証 – ユーザーは認証にどのようなクレデンシャルを利用する か? ● パスワード? スマートカード? 特殊なデバイス? – シングルサインオンはあるか? ● どうやって同じユーザがファイルサーバとwebアプリ ケーションに認証しなおしせずにアクセスするか?
  6. 6. Copyright Red Hat K.K. All rights reserved.6 「Identity Management」で扱うもの (2/2) ● アクセスコントロール/認可 – どのユーザがどのシステム・サービス・ アプリケーションにアクセスできるか? – sudoでどのコマンドを実行できるか? – ユーザはどのSELinuxのコンテキストに対応する か? ● ポリシー – パスワードの強度は? – automountのルールは? – Kerberos ticketのポリシーは?
  7. 7. Copyright Red Hat K.K. All rights reserved.7 Identity Managementの目標(1/2) ● アイデンティティ管理基盤をシンプルに提供す る ● PCI DSS, USGCB, STIGなどの基準に合致する 基盤を提供する ● 認可されないアクセスや認可されていない権限 昇格のリスクを減らす ● ダイナミックでスケーラブルな基盤を提供する – 最大60ノードのマルチマスタまでサポート ● 新しいシステムのデプロイメントを自動化する
  8. 8. Copyright Red Hat K.K. All rights reserved.8 Identity Managementの目標(2/2) ● 日々の運用コストを削減する ● 基盤にかかるコストを削減する ● 企業の混在環境全体にわたるシングルサインオ ンを提供してユーザ体験を向上する ● アイデンティティ管理基盤とアプリケーション の緊密な統合を可能にする ● アイデンティティ情報とユーザ・サービス・シ ステム・デバイスの認証情報を管理する
  9. 9. Copyright Red Hat K.K. All rights reserved.9 Identity Managementの主なコンポーネン ト ● Identity Management (FreeIPA/IdM) – 以下を統合 ● MIT Kerberos ● 389 Directory Server ● Dogtag Certificate System ● BIND ● SSSD ● Certmonger ● Keycloak IdP (Red Hat SSO) ● Apacheモジュール
  10. 10. Copyright Red Hat K.K. All rights reserved.10 FreeIPA/IdM ● Linux/UNIX環境用のドメインコントローラ – 「Linuxドメイン」を作成・管理 ● OSSプロジェクトFreeIPAがベース ● LDAP, Kerberos, DNS, 証明書管理を統合 ● Linux/UNIX環境むけの認証、認可、アイデンティ ティ情報の集中管理 ● ポリシーと権限昇格(sudo)の管理 ● Active DirectoryサーバとIdMサーバでの連携 ● Web UI, CLI, APIによる管理
  11. 11. Copyright Red Hat K.K. All rights reserved.1111 FreeIPA/IdM Linux UNIX Admin KDC LDAP PKI DNS CLI/UI
  12. 12. Copyright Red Hat K.K. All rights reserved.12 SSSD (System Security Services Daemon) ● クライアント側のコンポーネント ● Red Hat Enterprise Linuxや他のLinuxディストリ ビューションに同梱 ● アイデンティディソースおよび認証ソースとの接続を 管理 ● アイデンティティとポリシー情報のキャッシュ ● 複数のアイデンティティソースを同時に利用可能
  13. 13. Copyright Red Hat K.K. All rights reserved.1313 SSSD 概要図 アイデンティティ ソース 認証ソース Client プログラム Client プログラム Client プログラム SSSD ドメイン プロバイダ PAM レスポンダ アイデン ティディ プロバイダ 認証 プロバイダNSS レスポンダ Cache
  14. 14. Copyright Red Hat K.K. All rights reserved.1414 ● クライアント側のコンポーネント ● 認証局サーバに接続して証明書をリクエストする ● 証明書を追跡して自動更新する Certmonger
  15. 15. Copyright Red Hat K.K. All rights reserved.15 Keycloak IdP (Red Hat SSO) ● アイデンティティプロバイダの実装 ● 異なるWebアプリケーション間で SAML, OpenID Connect, OAuthベースのシングルサインオンと IDフェデレーションを提供 ※Keycloak IdPはRHELではなくJBoss EAPに同梱
  16. 16. Copyright Red Hat K.K. All rights reserved.1616 ● Apache httpdで利用されるモジュール ● フォームベース認証、Kerberos認証、証明書ベース 認証、SAML認証をサポートするモジュールを提供 – OpenID Connect認証については作業中 ● 認可およびアイデンティティ情報の参照も対応するモ ジュールにより可能 Apacheモジュール
  17. 17. Copyright Red Hat K.K. All rights reserved.1717 アーキテクチャの例 IdM Linux System アプリケーション モジュール SSSD Active Directory keycloak IdP Cert monge r 管理者 ブラウザ Trust
  18. 18. Copyright Red Hat K.K. All rights reserved.18 Identity Managementの概要
  19. 19. Copyright Red Hat K.K. All rights reserved.19 Identity Managementの概要 ● Kerberosによる企業内ユーザへのSSO提供 ● Active Directoryとの連携 – SSSDによる直接的な連携 – IdMを利用する間接的な連携 ● Host based Access Control ● ユーザとホストのSSH鍵管理 ● sudo, SELinux ユーザマッピング、automountの集中管理 ● ユーザ、ホスト、デバイス、サービスの証明書管理 ● 二要素認証 ● SAMLによるシングルサインオン
  20. 20. Copyright Red Hat K.K. All rights reserved.20 ステップ: ● ユーザアカウントを統合 ● ユーザデータをIdMへロード ● Linux/UNIXシステムをIdMへ接続 – ipa-client-install なぜIdMか? ● 複数の認証方式をサポート: – LDAP, Kerberos, OTP, 証明書 ● 統合されたソリューション – インストールと管理が容易 ● Active Directoryとの統合 ● Linuxホストのセキュリティ管理を強 化 認証 IdM Linux Linux Linux
  21. 21. Copyright Red Hat K.K. All rights reserved.21 Kerberosによるシングルサインオン ユーザ (Principal) Client サービス チケット (ST) TGT KDC (IdM) リソース サービス チケット (ST) 2 3 4 サービス (Principal) 0 1
  22. 22. Copyright Red Hat K.K. All rights reserved.22 ● あらかじめサービスの鍵を作成してkeytabへ登録(0) ● Kerberosに接続されたシステムにユーザがログイン(1) – Kerberos KDC, Active Directory, IdMのいずれも可 – ユーザはこのとき ticket granting ticket (TGT) を取得 ● ユーザ(例: NFSクライアント)がリソースにアクセス ● KerberosライブラリがサービスチケットをKDCに要求(2 - 3) ● サービスチケットをサービス(例: NFSサーバ)へ提示 (4) ● サーバはkeytabに格納された鍵でチケットを復号 ※鍵はインストール・設定時に配布され、必要に応じて更新さ れる Kerberosによる認証のフロー
  23. 23. Copyright Red Hat K.K. All rights reserved.23 Active Directoryとの連携 Windows Linux UNIX Active Directory IdM 直接的な統合 Active Directory でLinux/UNIXの認 証 間接的な統合 WindowsはActive Directory Linux/UNIXはIdMで認証 Windows Linux UNIX Active Directory
  24. 24. Copyright Red Hat K.K. All rights reserved.24 直接的な統合 Windows Linux UNIX Active Directory ● Active Directoryドメイ ンにLinux/UNIXを参加 させる ● Linux/UNIXの台数が少 ない場合には簡便な方法 ドキュメント: – http://red.ht/2h4QGL6
  25. 25. Copyright Red Hat K.K. All rights reserved.2525 ● サードパーティ製品を利用する ● 以前からある方法 – pam_krb5/pam_ldap, nss_ldap, nslcd – winbind ● 新しい方法 – SSSD (with realmd) 直接的な統合のオプション
  26. 26. Copyright Red Hat K.K. All rights reserved.26 SSSD による直接的な統合 Active Directory DNS LDAP KDC ADはsudoとautomountに拡張可 能 SFU/IMUによりAD SIDをPOSIX属 性にマッピング可 ADドメインヘrealmdで参加できる Linux System PoliciesSSSD 認証 アイデンティディ 名前解決 sudo HBAC automount selinux ssh keys HBACにGPOを利用可能 その他のポリシーは別の 設定管理システムで管理 認証はLDAPでもKerberosでも可
  27. 27. Copyright Red Hat K.K. All rights reserved.2727 間接的な統合 Active Directory IdM Windows Linux UNIX ● Active DIrectoryと Identity Managerを連 携 ● IdMのLinuxドメインに Linux/UNIXを参加させ る ドキュメント: ● http://red.ht/2hOdrSg
  28. 28. Copyright Red Hat K.K. All rights reserved.28 間接的な統合のオプション ● 信頼ベースのソリューション – ADとIdM間でクロスレルムKerberos信頼を設定 ● ADのユーザがLinuxシステムおよびリソースにアク セス可能 – IdMに独自のDNSドメインが必要 ● 同期ベースのソリューション – LDAPでユーザアカウントをADからIdMへ同期 – パスワード同期のためADに追加コンポーネントが必要 – 全ユーザはIdM利用時にパスワードを一度手動で変更す る必要あり – 1ドメイン、ユーザのみ(グループは不可)サポート
  29. 29. Copyright Red Hat K.K. All rights reserved.29 信頼ベースのIdM - AD統合 IdM DNS LDAP KDCPKI Active Directory DNSLDAPKDC PKI Linux System SSSD 認証 アイデンティディ 名前解決 証明書 Policies sudo HBAC automount selinux ssh keys
  30. 30. Copyright Red Hat K.K. All rights reserved.30 信頼関係によるシングルサインオン(1/2) IdM Active Directory クロスレルム信頼 linux@IdM host/linux@IdM への アクセス admin@AD 認証
  31. 31. Copyright Red Hat K.K. All rights reserved.31 信頼関係によるシングルサインオン(2/2) user: admin@AD ticket: host/linux@IdM 1 - AS-REQ 4 - Cross realm ticket 5 - Cross realm ticket 6 - Service ticket 2 - TGT 3 - Service Ticket IdM Active Directory クロスレルム信頼 linux@IdMadmin@AD
  32. 32. Copyright Red Hat K.K. All rights reserved.32 ● あるフォレストのユーザが別のフォレストの リソースにアクセスできるようにする ● あらかじめ信頼関係を構成する – 2つのフォレスト間で暗号化鍵を共有する ● 現在サポートされる構成は – ADとIdMが双方向に信頼 – IdMがADを信頼 ※ADがIdMを信頼する信頼関係は現在構成できない ADとIdMの信頼関係
  33. 33. Copyright Red Hat K.K. All rights reserved.33 ● SFU/IMUによるPOSIX属性対応 – Windows 2012R2 Serverから deprecated ● IdMによるADのSIDからUID, GIDへのダイナ ミックマッピング ● ID viewによる静的なオーバーライド – ユーザとユーザ属性 – ユーザ属性以外も対応 ● SSHキー ● OTP および 証明書 (予定) ADとIdMのユーザのマッピング
  34. 34. Copyright Red Hat K.K. All rights reserved.34 ● ホストベースアクセス制御 – どのユーザ(群)が – どのホスト(群)から – どのサービスへアクセスでき るか ● コンソール, ssh, sudo, ftp, sftp など ● ルールを集中的に定義 ● 信頼したADのユーザにも適用 Host Based Access Control(HBAC) IdM Linux Linux Linux AD
  35. 35. Copyright Red Hat K.K. All rights reserved.35 ● ホストの公開鍵をクライアント 導入時にアップロード ● ユーザの公開鍵をアップロード ● システムAからシステムBへssh するとき – Bの公開鍵をIdMがAへ配布 (手動でのdigest確認は不要) – ユーザの公開鍵をIdMがBへ 配布(手動でのコピー不要) ● 信頼したADのユーザにも適用 ユーザとホストのSSH 鍵管理 IdM Linux A Linux B SSH ホスト公開鍵 ユーザ公開鍵
  36. 36. Copyright Red Hat K.K. All rights reserved.36 ● sudoers管理 – どのコマンド(群)を – どのユーザ(群)が – どのホスト(群)でsudo実行 できるか ● ルールはクライアントで適用 – SSSDでキャッシュ – sudoに統合 ● 信頼したADのユーザにも適用 sudoの統合 IdM Linux Linux Linux AD Commands “ABC” Commands “KLMN” Commands “XYZ”
  37. 37. Copyright Red Hat K.K. All rights reserved.37 ● 集中的にマッピングを管理 ● SELinuxのMLS/MCSポリシーで利 用 ● ユーザとホストの組み合わせ毎にコ ンテキストをマッピング ● デフォルトのラベルをIdMで設定可 ● マッピングはクライアントで強制 ● SSSDでキャッシュ ● 信頼したADのユーザにも適用 SELinux のユーザマッピング IdM Linux Linux Linux AD unprivileged privileged super privileged
  38. 38. Copyright Red Hat K.K. All rights reserved.38 ● 場所ごとにマップを定義 ● direct map, indirect map ● autofsクライアントに統合 – IdMはautofsサーバの設定はし ません ● クライアントはその場所に対応した マップを取得するよう設定 ● マップは集中管理 ● マップはクライアントで適用される ● マップはSSSDでキャッシュ Automountのマッピング IdM Linux in US Linux in Japan US用 マップ Japan用 マップ NFSサーバ (US) NFSサーバ (Japan)
  39. 39. Copyright Red Hat K.K. All rights reserved.39 ● Dogtag Certificate SystemによるPKI基盤 ● Subjects – Users, hosts, devices, services ● Profiles – 目的毎のプロファイル ● Sub CA – 特定目的用のCA ● certmonger による証明書の追跡と更新 証明書と認証局の管理
  40. 40. Copyright Red Hat K.K. All rights reserved.40 ● ユーザ認証を証明書に よって実施する ● 証明書またはスマート カードをもつIdMユーザ ● 証明書またはスマート カードをもつADユーザ ● IdM UI/CLI での証明書 による認証(作業中) 証明書による認証 IdM Linux Linux Linux AD
  41. 41. Copyright Red Hat K.K. All rights reserved.41 ● IdM内蔵の二要素認証 – Yubikey, FreeOTP, Google authenticator – HOTP/TOTP互換 – LDAPまたはKerberos経由で 利用可 ● RADIUSプロキシによる認証 – RADIUSをサポートする任意 のサードパーティ製品 – Kerberos経由でのみ利用可 二要素認証 IdM Linux Linux Linux 外部OTPサーバ
  42. 42. Copyright Red Hat K.K. All rights reserved.42 SAMLによるシングルサインオン アプリケーション フレームワーク Identity Provider (RH SSOなど) Apache SAML module Identity Source (IdMなど) アプリケーション ユーザ 属性 1 2 3 4 5 6 7
  43. 43. Copyright Red Hat K.K. All rights reserved.43 1. ユーザはブラウザでアプリケーションを開く 2. SAMLモジュールが適切なassertionがあるかチェックして IdPにリダイレクト 3. IdPは必要に応じて認証(またはシングルサインオン)を実施 4. IdPは設定されたIdentity sourceで認証 5. IdPはSAML assertionを作成してリソースにリダイレクト 6. SAMLモジュールはassertionを確認しユーザデータを取得 7. ユーザデータがアプリケーションへ渡されて認証完了 SAMLによるシングルサインオンの流れ
  44. 44. Copyright Red Hat K.K. All rights reserved.44 SAMLによるシングルサインオン ● IdMだけではSAMLによるシングルサインオン はできません – IdMはIdentity Sourceとして利用 ● Identity Provider(Red Hat SSOなど)が必要 – RHEL 7.2でtechnology previewとして同梱された Ipsilon IdPはdeprecatedとなりました ● 必要なApache moduleは最新のRHELに同梱
  45. 45. Copyright Red Hat K.K. All rights reserved.45 まとめ ● 「Red Hat Identity Management」はRed Hat Enterprise Linuxに同梱されるアイデンティティ管理基盤 ● アイデンティティ・認証・アクセスコントロール・ポリ シーを管理します – LDAPによるアイデンティティ情報管理 – DNSによる名前解決 – 認証 – 証明書発行 – sudoer, HBAC, automountとの統合 ● PAM/NSS, Apache module等の連携が充実していて アプリケーションとの連携も考慮されています
  46. 46. Copyright Red Hat K.K. All rights reserved.46 参考文献 ● RHELドキュメント – Linux ドメイン ID、認証、およびポリシーガイド http://red.ht/2hYBk9h – Windows 統合ガイド http://red.ht/2h0oPsb

×