毎日、ユーザーデータの漏洩に関するニュースを読みます。 適切なアカウントを持つ適切な人にのみ重要な情報へのアクセスを提供する機能は、インフラストラクチャの情報セキュリティを確保するために重要です。 重要ですが、実装が必ずしも容易ではありません。
最近まで、Linuxの集中ID管理機能は制限されていました。 ターンキードメインコントローラーはありませんでした。 一部のLinuxディストリビューションには、KerberosとDNSのオープンソースツールが統合されており、Linuxベースの中央集中型ID管理メカニズムを作成しています。 この方法では、構成と保守に時間がかかる場合があります。 LinuxクライアントをMicrosoft Active Directoryに直接統合しているものもありますが、このアプローチではsudoやautomountなどの標準のLinuxツールを使用する機能が制限されています。
IdMアイデンティティ管理
6.4のリリース以降、CentOSにはIdentity Management(IdM)が含まれています。これは、大規模なLinux / Unixエンタープライズインストールでユーザー、マシン、およびサービス識別子を管理する一元化された簡単な方法を提供します。 IdMは、これらの識別子を管理するアクセスセキュリティポリシーを定義する方法を提供します。 ID管理フレームワークは、標準の汎用ネットワークサービスを単一の管理システム(PAM、LDAP、Kerberos、DNS、NTP、および認証サービス)に結合するオープンFreeIPAプロジェクトの一部として開発されました。 これにより、CentOSシステムはLinux環境でドメインコントローラーとして機能できます。 ID管理機能はCentOSに組み込まれているため、ワークフローにポリシーとID管理を追加するだけで簡単です。
Cent OS 7でのIdMとActive Directoryの統合
多くの組織にとって、Active Directory(AD)はエンタープライズID管理センターです。 ADユーザーがアクセスできるすべてのシステムは、IDを認証および検証するためにADと連携できる必要があります。
CentOS 7のID管理は、LinuxシステムをActive Directory環境に統合する2つの方法を提供します。
- 直接統合 。 Linuxシステムは、システムセキュリティサービスデーモン(SSSD)コンポーネントを使用してActive Directoryに直接接続できます。 コンポーネントは、中央IDストアへの認証およびID検証ゲートウェイとして機能します。 SSSDは、新しいrealmdコンポーネントを使用して簡単に構成できます。 Realmdは、DNSレコードに基づいて利用可能なドメインを検出し、SSSDが正しい認証ソースと対話するように構成します。 Realmdを使用すると、以下に示すように、LinuxシステムをIdMまたはADに接続できます。 システムがドメインに入ると、ドメインユーザーはそれにアクセスできます。 ユーザーは認証とPOSIX属性管理を使用でき、Linuxはグループへの参加について学習します。 このインストールのSSSDは、以前に使用されたwinbindコンポーネントを置き換えます。 ただし、LinuxでCIFSファイル共有を使用する場合は、winbindを構成する必要があります。
- 間接的な統合。 直接統合は、認証とユーザー資格情報のみの使用に制限されています。 システムは、企業環境でアクセスを制御するポリシーとデータを受け取りません。 Linuxシステムは、中央認証サーバーからポリシー(sudoなど)、ホストアクセス制御ルール、自動マウント、ネットグループ、SELinux、およびその他の機能を受信できます。 アイデンティティ管理サーバーは、識別子、権利、および上記の集中管理されたLinuxポリシーを付与することにより、Linuxシステムの集中管理を提供します。 ほとんどの企業環境では、Active DirectoryユーザーはLinuxリソースにアクセスできる必要があります。 これは、IdMサーバーとADサーバーの間に信頼を確立することで実現できます。 以下の図は、Active DirectoryフォレストのユーザーがIdMドメインにログインしてLinuxシステムにアクセスする方法を示しています。
CentOS 7のID管理では、SSSD(クライアント)およびIdMサーバーに新機能が追加され、ドメインの信頼のサポート、ユーザーインターフェイスの改善、プロトタイプのバックアップおよび復元機能など、ID管理がより簡単かつ機能的になります。
記事の準備に使用されたソース:
CentOS 7に適用可能なRed Hat NetworkのLinuxドメインID、認証、およびポリシーガイド
公式RedHatブログ
RedHatナレッジベース
CentOS公式ブログ
特に読者のために、モスクワとアムステルダムのデータセンターの1つにあるInfoboxCloudクラウドでCentOS 7を試す機会を提供しました。 このリンクで15日間の試用版を登録します。 試用版よりも多くのテスト用リソースが必要な場合は、 trukhinyuri@infoboxcloud.comに連絡してください 。 CentOS 7 は 、サンクトペテルブルク、クラスノヤルスク、アムステルダムのデータセンターのInfoboxからVPSでも利用できます 。
CentOS 7の使用に成功しました! 継続する。