現在位置: ホーム / Red Hat Ch. / Red Hat Blog / Identity Manager (IdM)とは?

Identity Manager (IdM)とは?

Red Hat Enterprise Linux に付属するID管理ソフトウェアIdentity Manager (IdM)を紹介します

Identity Manager (IdM)とは?

Red Hat Enterprise Linux に付属するID管理ソフトウェアです。upstreamプロジェクトはfreeipaです。

できること:

  • Red Hat Enterprise Linux上でのユーザ、ホスト、サービスの認証をおこない、シングルサインオン環境を構築できます。

  • Active DirectoryとCross realm trustを構成してWindows - Linuxにまたがるシングルサインオンが構成できます。

  • 一般的なプロトコル(LDAP, Kerberos, DNS)を利用しているので他社製品や古いRHELでの認証にも利用できます

  • sudo, automount, sshの公開鍵なども一緒に管理します

  • RHEL 7.1同梱版からはHOTP、TOTPによる2要素認証にも対応しています
  • サーバへのログインだけでなくアプリケーションの認証にも利用できます。PAMによる認証、mod_auth_mellonによるSAML認証、Kerberosによる認証などへ対応しています。Red Hatの各製品においてもIdMへの対応が徐々に進んでいます。

RHEL IDM ユーザ管理UI  RHEL IDM ユーザ一覧UI

 

できないこと:

  • 汎用的なLDAPサーバではありません。認証に特化しています。

  • 他社製品のクライアント側についてのサポートはされません。

  • WindowsID管理を統合するものではありません

Identity Manager 実装上の特徴

  • 標準技術の組み合わせにより実装されています

    • そのため特に「IdMに対応」していない古いRHELUnixOSからも利用することができます

  • 非常にセキュア側に機能を制限しています。具体的には:

    • パスワード再発行時には管理者が発行したあと必ずユーザー自身による再設定が強制される

    • パスワードのハッシュ値そのものは管理者であっても通常のクエリでは参照できないし、設定もできない

    • パスワードはハッシュ値のみしか保持しない

  • Active Directoryとの連携も用意しています

    • Active DirectoryからIdMへパスワード更新をレプリケーションすることができます

    • IdMからActive Directoryへはレプリケーションできません。これはIdMではハッシュ値でしかパスワードを保持しないためです。

    • Cross realm trustにより、ADで発行したチケットを利用してIdMで認証、またはその逆が可能です。これによりWindows環境とLinux環境をまたいだシングルサインオンを実現します(RHEL7.0以降に同梱されるIdMから。クライアントはRHEL6.4以降)

  • 既存環境からの移行を想定しています

    • NISLDAPからの移行をサポートするスクリプトとドキュメントが同梱されています

  • UI

    • WebとコマンドラインでのUIが用意されています

  • 可用性

    • 20マルチマスタまでサポートし、高可用性はマルチマスタ構成と、

    • SSSDのキャッシュ機能により実現します。

  • identity managerはいろいろなOSSを組みあわせて実装されています。

    • NTPd, 389DirectoryServer (LDAPサーバ), MIT Kerberos, bind (DNSサーバ)など既存のもの 

    • freeipa, dogtag, ipa-otpdなど新規に作成されたもの

  • Identity ManagerではActive Directoryに似た「ドメイン」の概念を導入しています。

    • 基本的にIdentity Manager1ドメインの管理しかおこないません。

    • クライアント側はSSSDにより複数のドメインに参加することができます。クライアント数に制限はありません。

費用に関連する特徴

  • RHEL Serverに同梱されていて追加費用はかかりません

  • アカウント数や接続数が増えても特に追加費用はかかりません

  • 直接ADに問いあわせる場合と比べてCALを減らせます。Cross realm trustによる連携をおこなう場合, ADと連携してシングルサインオンが可能でありつつもIdMで管理されているのでADCALが不要です。

FAQ

  • IdMをつかわずにActive Directoryに直接といあわせたらいいのでは?

    • はい。そうやって構成することもできます(Direct Integrationと呼ばれています)。この場合はRHELに同梱されるSSSDを利用してActive Directoryに接続すると設定が容易です。

    • 台数が少ない場合(30台くらいまで)ならいいかもしれません。多いとADのCAL費用が気になります。

    • https://msdn.microsoft.com/en-us/library/cc731178.aspx によると、Identity Management for Unix deprecatedになりましたのでMSからサポートされる手順がなくなってしましました。この点については自己責任で利用することになります。

  • IdMRHELでつかうときに注意することは?

    • 管理される側のRHELバージョンによりIdMのどの機能をサポートしているかなどの詳細が変わります。以下はADとのTrustがどの機能で有効かの対応表です。RHEL IDMバージョン機能対応表

  • サーバの前提条件は以下にまとまっています

  • IdMに全てを集約して、Windowsクライアントの認証も統合できますか?

    • サポートされませんし推奨もされませんが、WindowsMIT Kerberosのクライアントを入れればできなくはないとおもわれます。

    • WindowsについてはADで管理し、Linux, UnixについてはIdMでというのが現実的なIdMの利用モデルです。

ドキュメント


(レッドハット ソリューションアーキテクト 森若和雄)

お問い合わせ

問い合わせボタン

RHEL サポート

最近の更新
継続的な学習を実現する Red Hat Learning Subscription 2017年07月07日
Red Hat Enterprise Linux 7.4 public betaがでました 2017年05月26日
Automation with Ansibleコース(DO407 :4日間)のご紹介 2017年04月26日
RHELで新しいgitやPython3を使うには? 2017年03月29日
AnsibleとRed Hat Identity Managementを併用すると便利 2017年02月28日
Red Hat Satellite 6でerrataを適用してみる 2016年11月28日
VMware環境上でのRed Hat Enterprise Linux 7.2以前から7.3へアップデート時の注意点と、その解説 2016年11月24日
RHEL4の延長サポートおよびRHEL5の通常サポート終了 2016年10月17日
Red Hat Enterprise Linuxの互換性維持 2016年08月31日
RED HAT FORUM 2016 Tokyo The power of participation -アイデアとテクノロジーが生むオープンイノベーションの破壊力- 2016年08月12日
Red Hat Network ClassicからRed Hat Subscription Managementへ移行のおねがい 2016年07月27日
ABRTで障害時の情報収集とレポートを自動化しよう 2016年06月03日
Red Hat Enterprise Linux 7、使ってますか? 2016年04月27日
Red Hat Developer Programに参加して開発者用サブスクリプションを入手しよう 2016年04月01日
Relax and Recoverでのシステム回復 2016年03月08日
Red Hat Insightsとは 2015年11月13日
Red Hat Enterprise Linuxを仮想化環境で動作させる時の注意点 2015年10月05日
RHEL7でpingをreniceしようとすると失敗する話 2015年08月31日
Red Hat Satellite使いはじめガイド 2015年08月20日
ELS? EUS? RHELの延長サポート製品について知ろう 2015年08月13日