Red Hat Enterprise Linux 8 Identity Management の設定および管理

Transcription

1 Red Hat Enterprise Linux 8 Identity Management の設定および管理 Red Hat Enterprise Linux 8 で Identity Management の設定 管理 および維持 Last Updated:

2

3 Red Hat Enterprise Linux 8 Identity Management の設定および管理 Red Hat Enterprise Linux 8 で Identity Management の設定 管理 および維持

4 法律上の通知 Copyright 2019 Red Hat, Inc. The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux is the registered trademark of Linus Torvalds in the United States and other countries. Java is a registered trademark of Oracle and/or its affiliates. XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. MySQL is a registered trademark of MySQL AB in the United States, the European Union and other countries. Node.js is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project. The OpenStack Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community. All other trademarks are the property of their respective owners. 概要 本書は Red Hat Enterprise Linux 8 で Identity Management を効果的に設定 管理 および維持する方法を説明します

5 目次 目次 パート I... RED..... HAT..... ENTERPRISE LINUX で... IDENTITY MANAGEMENT の設定 管理 および維持 第... 1 章... コマンドラインから IDENTITY MANAGEMENT へのログイン KINIT を使用した IDM への手動ログイン 1.2. ユーザーの有効な KERBEROS チケットの破棄 1.3. KERBEROS 認証用の外部システム設定 前提条件 関連資料 第 章.. IDENTITY MANAGEMENT サービスの表示 開始 および停止 IDENTITY MANAGEMENT サーバー全体の起動および停止 : IPACTL ユーティリティー ipactl コマンド 2.2. 個々の IDENTITY MANAGEMENT サービスの起動および停止 : SYSTEMCTL ユーティリティー 便利な systemctl コマンド 第 章... IDENTITY MANAGEMENT コマンドラインユーティリティーの概要 IPA コマンドのヘルプの表示 関連資料 3.2. IDENTITY MANAGEMENT を管理するのに最も便利なコマンド 3.3. IDENTITY MANAGEMENT ユーティリティーに値のリストを提供する方法 3.4. IDENTITY MANAGEMENT ユーティリティーで特殊文字を使用する方法 第 章... コマンドラインから IDENTITY MANAGEMENT エントリーの検索 IDENTITY MANAGEMENT の一覧表示 4.2. 特定のエントリーの詳細の表示 4.3. 検索サイズおよび時間制限の調整 : Web UI : コマンドライン 第 章... WEB..... ブラウザーで IDM..... WEB..... UI... へのアクセス IDM WEB UI とは 5.2. WEB UI へのアクセスに対応している WEB ブラウザー 5.3. WEB UI へのアクセス 関連資料 第 章... WEB..... UI.. で... IDM..... にログイン :. KERBEROS チケットの使用 前提条件 6.2. IDENTITY MANAGEMENT における KERBEROS 認証 6.3. KINIT を使用した IDM への手動ログイン 6.4. KERBEROS 認証用のブラウザーの設定 6.5. KERBEROS チケットを使用した WEB UI へのログイン 6.6. KERBEROS 認証用の外部システム設定 前提条件 6.7. ACTIVE DIRECTORY ユーザー用 WEB UI ログイン 関連資料

6 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 章.. ワンタイムパスワードを使用して IDENTITY MANAGEMENT WEB UI.. にログイン 前提条件 IDENTITY MANAGEMENT におけるワンタイムパスワード (OTP) 認証 WEB UI でワンタイムパスワードの有効化 24 前提条件 WEB UI での OTP トークンの追加 25 前提条件 ワンタイムパスワードで WEB UI にログイン 26 前提条件 WEB UI を使用した OTP トークンの同期 27 前提条件 期限切れパスワードの変更 29 前提条件 第 章... IDENTITY MANAGEMENT の公開鍵証明書 IDM の認証局 証明書および KERBEROS の比較 IDM でユーザーを認証する証明書を使用する利点と問題点 31 第 章... IDM.... クライアントのデスクトップに保存されている証明書を使用した認証の設定 WEB UI の証明書認証に対する IDENTITY MANAGEMENT サーバーの設定 新しいユーザー証明書を要求し クライアントにエクスポート 証明書とユーザーが互いにリンクしていることを確認 ブラウザーで証明書認証の有効化 IDENTITY MANAGEMENT ユーザーとして証明書を使用して IDENTITY MANAGEMENT の WEB UI で認証 関連資料 証明書を使用して CLI への認証を可能にするように IDM クライアントを設定 第 章.. IDM..... を管理する AD.... ユーザーを有効化 AD ユーザーの ID のオーバーライド IDM を管理する AD ユーザーを有効にする ID オーバーライドの使用 40 前提条件 AD ユーザーとして IDM コマンドラインインターフェース (CLI) の管理 41 2

7 目次 3

8 Red Hat Enterprise Linux 8 Identity Management の設定および管理 パート I. RED HAT ENTERPRISE LINUX 8 で IDENTITY MANAGEMENT の設定 管理 および維持 4

9 第 1 章コマンドラインから IDENTITY MANAGEMENT へのログイン 第 1 章コマンドラインから IDENTITY MANAGEMENT へのログイン Identity Management (IdM) では Kerberos プロトコルを使用してシングルサインオンに対応します シングルサインオンとは ユーザーが正しいユーザー名およびパスワードを一度だけ入力すれば システムが認証情報を再度求めることなく IdM サービスにアクセスできるという機能です 重要 IdM では ユーザーが 対応する Kerberos プリンシパル名を使用して IdM クライアントマシンのデスクトップ環境にログインすると SSSD (System Security Services Daemon) が そのユーザーの TGT (Ticket-Granting Ticket) を自動的に取得します これは ログインしてから kinit ユーティリティーを使用して IdM リソースにアクセスする必要がなくなることを意味します Kerberos 認証情報を削除している場合 または Kerberos TGT の有効期限が切れている場合に IdM リソースにアクセスするには 手動で Kerberos チケットを要求する必要があります 以下のセクションでは IdM で Kerberos を使用している場合の基本的なユーザー操作を説明します 1.1. KINIT を使用した IDM への手動ログイン このでは kinit ユーティリティーを使用して Identity Management (IdM) 環境を手動で認証する方法を説明します kinit ユーティリティーは IdM ユーザーの代わりに Kerberos の TGT (Ticket- Granting Ticket) を取得して キャッシュに格納します 注記 このは 最初の Kerberos TGT を破棄したか 有効期限が切れている場合にのみ使用します ローカルマシンに IdM ユーザーとしてログインすると IdM に自動的にログインします これは ログイン後に IdM リソースにアクセスするのに kinit ユーティリティーを使用する必要がないことを示しています 1. IdM へのログイン ローカルシステムに現在ログインしているユーザーのユーザー名で ( ユーザー名を指定せずに ) kinit を使用します たとえば ローカルシステムにログインしているユーザーが example_user の場合は 次のコマンドを実行します [example_user@server ~]$ kinit Password for example_user@example.com: [example_user@server ~]$ ローカルユーザーのユーザー名と IdM のユーザーエントリーが一致しないと 認証に失敗します [example_user@server ~]$ kinit kinit: Client 'example_user@example.com' not found in Kerberos database while getting initial credentials ローカルユーザー名に対応しない プリンシパルを使用して kinit ユーティリ 5

10 Red Hat Enterprise Linux 8 Identity Management の設定および管理 ローカルユーザー名に対応しない Kerberos プリンシパルを使用して kinit ユーティリティーに必要なユーザー名を渡します たとえば admin ユーザーとしてログインするには 以下のコマンドを実行します [example_user@server ~]$ kinit admin Password for admin@example.com: [example_user@server ~]$ 2. 必要に応じて ログインが成功したことを確認するには klist ユーティリティーを使用して キャッシュした TGT を表示します 以下の例では キャッシュに example_user プリンシパルのチケットが含まれています これは このホストでは IdM サービスにアクセスするのは example_user にのみ許可されていることを示しています $ klist Ticket cache: KEYRING:persistent:0:0 Default principal: example_user@example.com Valid starting Expires Service principal 11/10/ :35:45 11/10/ :35:45 krbtgt/example.com@example.com 1.2. ユーザーの有効な KERBEROS チケットの破棄 本セクションでは ユーザーのアクティブな Kerberos チケットが含まれている認証情報キャッシュを削除する方法を説明します 1. Kerberos チケットを破棄するには 次のコマンドを実行します [example_user@server ~]$ kdestroy 2. 必要に応じて Kerberos チケットが破棄されたことを確認するには 次のコマンドを実行します [example_user@server ~]$ klist klist: Credentials cache keyring 'persistent:0:0' not found 1.3. KERBEROS 認証用の外部システム設定 本セクションでは Identity Management (IdM) ユーザーが自身の Kerberos 認証情報を使用して 外部システムから IdM にログインするように外部システムを設定する方法を説明します 外部システムの Kerberos 認証を有効にすることは インフラストラクチャーに 複数のレルムまたは重複ドメインが含まれている場合に特に便利です また ipa-client-install を実行してシステムを IdM ドメインに登録していない場合にも便利です IdM ドメインのメンバーではないシステムから IdM への Kerberos 認証を有効にするには 外部システムに IdM 固有の Kerberos 設定ファイルを定義します 前提条件 外部システムに krb5-workstation パッケージがインストールされている パッケージがインストールされているかどうかを確認するには 次の CLI コマンドを使用します 6

11 第 1 章コマンドラインから IDENTITY MANAGEMENT へのログイン # yum list installed krb5-workstation Installed Packages krb5-workstation.x86_64 1. IdM サーバーから外部システムに /etc/krb5.conf ファイルをコピーします 以下に例を示します # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf 警告外部マシンにある krb5.conf ファイルは上書きしないでください 2. 外部システムで コピーした IdM Kerberos 設定ファイルを使用するように 端末の設定を設定します $ export KRB5_CONFIG=/etc/krb5_ipa.conf KRB5_CONFIG 変数は ログアウトまで一時的に存在します ログアウト時に削除されないように この変数のファイル名を変えてエクスポートします 3. /etc/krb5.conf.d/ ディレクトリーの Kerberos 設定部分を 外部システムにコピーします 外部システムのユーザーが kinit ユーティリティーを使用して IdM サーバーで認証できるようになりました 関連資料 Kerberos の詳細は man ページの krb5.conf(5) kinit(1) klist(1) および kdestroy(1) を参照してください 7

12 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 2 章 IDENTITY MANAGEMENT サービスの表示 開始 および停止 Identity Management (IdM) サーバーは ドメインコントローラー (DC) として機能する Red Hat Enterprise Linux システムです すべての IdM サーバーでさまざまなサービスが実行しますが 中でも注目すべきは Directory Server Certificate Authority (CA) DNS および Kerberos です Identity Management サーバーで現在実行しているサービスを確認するには 次のコマンドを実行します [root@server ~]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING smb Service: RUNNING winbind Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful この出力は 以下を示しています Kerberos サービスは krb5kdc および kadmin の 2 つに分かれます krb5kdc サービスは Kerberos バージョン 5 の認証サービスおよびキー配布センター (KDC) デーモンになります kadmin サービスは Kerberos V5 データベース管理プログラムです named サービスは インターネットのドメインネームシステム (DNS) を参照します pki は 証明書システムサービスにアクセスするコマンドラインインターフェースです pkitomcatd プログラムは 証明書を参照する Identity Management 操作を処理します サーバーの ipactl status コマンドの出力は IdM 設定により異なります たとえば IdM デプロイメントに DNS サーバーが含まれていない場合は named サービスが一覧に表示されません 注記 IdM の Web UI を使用して 特定の IdM サーバーで実行しているすべての IdM サービスのステータスを表示することはできません Kerberos に対応し 複数のサーバーで実行しているサービスは IdM の Web UI の Identity Services タブで表示できます サーバー全体 または個々のサービスのみを起動または停止できます IdM サーバー全体を起動 停止 または再起動するには 以下を参照してください Identity Management サーバー全体の起動および停止 : ipactl ユーティリティー 個々の IdM サービスを起動 停止 または再起動する方法は 以下を参照してください 個々の Identity Management サービスの起動および停止 : systemctl ユーティリティー 8

13 第 2 章 IDENTITY MANAGEMENT サービスの表示 開始 および停止 2.1. IDENTITY MANAGEMENT サーバー全体の起動および停止 : IPACTL ユーティリティー ipactl ユーティリティーを使用して IdM サーバー全体と インストールしたサービスをすべて停止 起動 ( 開始 ) または再起動 ( 再開 ) します ipactl ユーティリティーを使用して すべてのサービスを適切な順番で停止 開始 または再開します 有効な Kerberos チケットがなくても ipactl コマンドは実行できます ipactl コマンド IdM サーバー全体を起動するには 次のコマンドを実行します # ipactl start IdM サーバー全体を停止するには 次のコマンドを実行します # ipactl stop IdM サーバー全体を再起動するには 次のコマンドを実行します # ipactl restart IdM を構成するすべてのサービスのステータスを表示するには 次のコマンドを実行します # ipactl status 重要 ipactl コマンドは IdM の Web UI では使用できません 2.2. 個々の IDENTITY MANAGEMENT サービスの起動および停止 : SYSTEMCTL ユーティリティー IdM 設定ファイルを手動で変更することは推奨されていませんが 特定の状況では 管理者が特定のサービスを手動で設定する必要があります このような場合は systemctl ユーティリティーを使用して 個々の IdM サービスを停止 開始 または再開できます たとえば その他の IdM サービスを変更せずに Directory Server の挙動をカスタマイズした場合は systemctl を使用します # systemctl restart dirsrv@realm-name.service また Active Directory と IdM の信頼を最初にデプロイする場合は /etc/sssd/sssd.conf ファイルを変更して 以下を追加します リモートサーバーの待ち時間が長い環境で タイムアウト設定オプションを調整するための特定のパラメーター Active Directory サイトのアフィニティーを調整するための特定のパラメーター グローバルの IdM 設定では提供されない特定の設定オプションのオーバーライド /etc/sssd/sssd.conf ファイルに加えた変更を適用するには 次のコマンドを実行します 9

14 Red Hat Enterprise Linux 8 Identity Management の設定および管理 # systemctl restart sssd.service System Security Services Daemon (SSSD) は 設定を自動的に再読み込みまたは再適用しないため systemctl restart sssd.service を実行する必要があります 変更が IdM の ID 範囲に影響を及ぼす場合は サーバーを完全に再起動することが推奨されます 重要 複数の IdM ドメインサービスを再起動する場合は 常に ipactl を使用してください IdM サーバーにインストールされているサービス間での依存関係により サービスを開始および停止する順番は極めて重要です ipactl ユーティリティーは サービスが適切な順番で開始および停止するようにします 便利な systemctl コマンド特定の IdM サービスを開始するには 次のコマンドを実行します # systemctl start name.service 特定の IdM サービスを停止するには 次のコマンドを実行します # systemctl stop name.service 特定の IdM サービスを再開するには 次のコマンドを実行します # systemctl restart name.service 特定の IdM サービスのステータスを表示するには 次のコマンドを実行します # systemctl status name.service 重要 IdM の Web UI を使用して IdM サーバーで実行している個々のサービスを開始または停止することはできません Web UI で可能なのは Identity Services に移動してサービスを選択し Kerberos に対応する設定を修正することです 10

15 第 3 章 IDENTITY MANAGEMENT コマンドラインユーティリティーの概要 第 3 章 IDENTITY MANAGEMENT コマンドラインユーティリティーの概要 以下のセクションでは Identity Management コマンドラインユーティリティーの基本的な使用方法を説明します 3.1. IPA コマンドのヘルプの表示 ipa スクリプトは Identity Management に対する基本的なコマンドラインスクリプトです このスクリプトは 新しいユーザーを追加する ipa user-add コマンドなど Identity Management の管理に使用する多数のサブコマンドの親スクリプトです $ ipa user-add user_name ipa スクリプトは サブコマンドの特定セット (topic) に関するヘルプを表示できます 利用可能なトピックの一覧を表示するには ipa help topics コマンドを使用します $ ipa help topics automember automount caacl... Auto Membership Rule. Automount Manage CA ACL rules. 特定のトピックに関するヘルプを表示するには ipa help topic_name コマンドを使用します $ ipa help automember Auto Membership Rule. Bring clarity to the membership of hosts and users by configuring inclusive or exclusive regex patterns, you can automatically assign a new entries into a group or hostgroup based upon attribute information.... EXAMPLES: Add the initial group or hostgroup: ipa hostgroup-add --desc="web Servers" webservers ipa group-add --desc="developers" devel... 利用可能な ipa コマンドの一覧を表示するには ipa help commands コマンドを使用します $ ipa help commands automember-add automember-add-condition... Add an automember rule. Add conditions to an automember rule. 特定の ipa コマンドの詳細なヘルプは --help オプションを使用します 11

16 Red Hat Enterprise Linux 8 Identity Management の設定および管理 $ ipa automember-add --help Usage: ipa [global-options] automember-add AUTOMEMBER-RULE [options] Add an automember rule. Options: -h, --help show this help message and exit --desc=str A description of this auto member rule... 関連資料 ipa ユーティリティーの詳細は man ページの ipa(1) を参照してください 3.2. IDENTITY MANAGEMENT を管理するのに最も便利なコマンド 未定 : これは全リストではなく 最も一般的な一部 (7 か 8 ) のコマンドです 理想としては このコマンドの使用法を説明したアセンブリーへのリンクがあります コマンド 説明 例 詳細は link to another assembly を参照してください ipa command これとあれを行います $ ipa command some arguments 3.3. IDENTITY MANAGEMENT ユーティリティーに値のリストを提供する方法 Identity Management は 複値属性の値をリスト形式で保存します 以下は例になります ipausersearchfields: uid,givenname,sn,telephonenumber,ou,title このような多値属性をコマンド行から更新すると Identity Management は 前の値リストを新しいリストで完全に上書きします したがって 多値属性を更新するときは 追加する 1 つの新しい値だけでなく 新しいリスト全体を指定する必要があります Identity Management は 多値リストを提供する次の方法をサポートします 同じコマンド呼び出しで 同じコマンドライン引数を複数回指定します $ ipa permission-add --permissions=read --permissions=write --permissions=delete リストを中括弧で囲むと シェルは展開を実行します $ ipa permission-add --permissions={read,write,delete} 12

17 第 3 章 IDENTITY MANAGEMENT コマンドラインユーティリティーの概要 3.4. IDENTITY MANAGEMENT ユーティリティーで特殊文字を使用する方法 特殊文字を含むコマンドライン引数を ipa コマンドに渡す場合は この文字をバックスラッシュ (\) でエスケープします たとえば 一般的な特殊文字には 山かっこ (< および >) アンパサンド (&) アスタリスク (*) または垂直バー ( ) があります たとえば アスタリスク (*) をエスケープするには 次のようにします $ ipa certprofile-show certificate_profile --out=exported\*profile.cfg シェルが特殊文字を正しく解析できないため コマンドにエスケープされていない特殊文字を含めると 予想通りに機能しなくなります 13

18 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 4 章コマンドラインから IDENTITY MANAGEMENT エントリーの検索 ここでは Identity Management ツールを使用して Identity Management エントリーを検索する方法を説明します 4.1. IDENTITY MANAGEMENT の一覧表示 ipa *-find コマンドを使用して 特定のタイプの Identity Management エントリーを検索します 以下に例を示します 全ユーザーを表示します $ ipa user-find users matched 指定の属性に keyword が含まれるユーザーグループの一覧を表示するには 以下を実行します $ ipa group-find keyword groups matched ユーザーグループの検索の際には 特定のユーザーを含むグループに検索結果を絞り込むことも可能です $ ipa group-find --user=user_name また 特定のユーザーを含まないグループを検索するには 以下を実行します $ ipa group-find --no-user=user_name 4.2. 特定のエントリーの詳細の表示 ipa *-show コマンドを使用して 固有の Identity Management エントリーの詳細を表示します たとえば server.example.com という名前のホストに関する詳細を表示します $ ipa host-show server.example.com Host name: server.example.com Principal name: host/server.example.com@example.com 検索サイズおよび時間制限の調整 14

19 第 4 章コマンドラインから IDENTITY MANAGEMENT エントリーの検索 ユーザーの一覧表示など 検索結果によっては エントリー数が大量に返される場合があります この検索操作を調整して ipa user-find などの ipa *-find コマンドの実行時や Web UI で適切な一覧を表示する際に 全体的なサーバーのパフォーマンスを向上できます Search size limit クライアント Identity Management コマンドラインツール Identity Management Web UI からサーバーに送信されるリクエストに対して 返される最大エントリー数を定義します デフォルト エントリー Search time limit 検索の実行までにサーバーが待機する最大時間 ( 秒 ) を定義します 検索がこの制限に到達したら サーバーは検索を停止し 停止するまでの期間に検出されたエントリーを返します デフォルト - 2 秒 これらの値が -1 に設定されている場合 Identity Management は検索時に制限を適用しません 重要 検索のサイズや時間制限を高く設定しすぎると サーバーのパフォーマンスに悪い影響が出る可能性があります : Web UI 全クエリーに対して グローバルに制限を調節するには 以下を実行します 1. IPA Server Configuration を選択します 2. Search Options エリアに必要な値を設定します 3. ページ上部にある Save をクリックします : コマンドライン全クエリーに対してグローバルに制限を調整するには ipa config-mod コマンドを使用して -- searchrecordslimit オプションおよび --searchtimelimit オプションを追加します 以下に例を示します $ ipa config-mod --searchrecordslimit=500 --searchtimelimit=5 特定のクエリーに対してのみ制限を調整するには コマンドに --sizelimit オプションまたは --timelimit オプションを追加します 以下に例を示します $ ipa user-find --sizelimit=200 --timelimit=120 15

20 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 5 章 WEB ブラウザーで IDM WEB UI へのアクセス 次のセクションでは IdM (Identity Management) Web UI の概要と そのアクセス方法を説明します 5.1. IDM WEB UI とは IdM (Identity Management) Web UI は IdM コマンドラインツールのグラフィカルな代替手段である IdM 管理用の Web アプリケーションです IdM Web UI には 以下のユーザーとしてアクセスできます IdM ユーザー - IdM サーバーでユーザーに付与されている権限に応じて制限されている一連の操作 基本的に アクティブな IdM ユーザーは IdM サーバーにログインして自身のアカウントを設定できます その他のユーザーまたは IdM サーバーの設定は変更できません 管理者 - IdM サーバーへのフルアクセス権 Active Directory ユーザー - ユーザーに付与されている権限に応じて制限されている一連の操作 Active Directory ユーザーは Identity Management の管理者になれません 5.2. WEB UI へのアクセスに対応している WEB ブラウザー IdM (Identity Management) では 以下のブラウザーを使用して Web UI に接続できます Mozilla Firefox 38 以降 Google Chrome 46 以降 5.3. WEB UI へのアクセス 次のでは パスワードを使用して IdM (Identity Management) Web UI に最初にログインする方法を説明します 最初のログイン後に IdM サーバーを認証するように設定できます Kerberos チケット スマートカード ワンタイムパスワード (OTP) - パスワードと組み合わせることができ Kerberos 認証に利用されます 1. ブラウザーのアドレスバーに IdM サーバーの URL を入力します 名前は次の例のようになります server.example.com を IdM サーバーの DNS 名に変更するだけです これで ブラウザーに IdM Web UI ログイン画面が開きます 16

21 第 5 章 WEB ブラウザーで IDM WEB UI へのアクセス サーバーが応答しない またはログイン画面が開かない場合は 接続している IdM サーバーの DNS 設定を確認してください 自己署名証明書を使用する場合は ブラウザーに警告が表示されます 証明書を確認し セキュリティー例外を許可してから ログインを続行します セキュリティーの例外を回避するために 認証局が署名した証明書をインストールします 詳細は Configuring Identity Management for authenticating with a certificate を参照してください 2. Web UI ログイン画面で IdM サーバーのインストール時に追加した管理者アカウントの認証情報を入力します 詳細は Installing an Identity Management server を参照してください IdM サーバーに 個人アカウントの認証情報がすでに入力されている場合は それを入力できます 3. Log in をクリックします ログインに成功したら IdM サーバーの設定を開始できます 17

22 Red Hat Enterprise Linux 8 Identity Management の設定および管理 関連資料認証は 次の方法でも可能です Kerberos チケット パスワード + ワンタイムパスワード スマートカード 18

23 第 6 章 WEB UI で IDM にログイン : KERBEROS チケットの使用 第 6 章 WEB UI で IDM にログイン : KERBEROS チケットの使用 以下のセクションでは IdM Web UI への Kerberos ログインを有効にする環境の初期設定と Kerberos 認証を使用した IdM へのアクセスを説明します 6.1. 前提条件 ネットワーク環境にインストールしている IdM サーバー詳細は Installing Identity Management in Red Hat Enterprise Linux 8 を参照してください 6.2. IDENTITY MANAGEMENT における KERBEROS 認証 Identity Management (IdM) は シングルサインオンに対応する Kerberos プロトコルを使用します シングルサインオン認証により ユーザーが正しいユーザー名およびパスワードを一度入力すれば システムに認証情報を求められることなく Identity Management サービスにアクセスできます DNS および証明書の設定が適切に設定されている場合は インストール直後に IdM サーバーが Kerberos 認証を提供します 詳細は Installing Identity Management を参照してください ホストで Kerberos 認証を使用するには 以下をインストールします IdM クライアント詳細は Installing Identity Management を参照してください krb5conf パッケージ 6.3. KINIT を使用した IDM への手動ログイン このでは kinit ユーティリティーを使用して Identity Management (IdM) 環境を手動で認証する方法を説明します kinit ユーティリティーは IdM ユーザーの代わりに Kerberos の TGT (Ticket- Granting Ticket) を取得して キャッシュに格納します 注記 このは 最初の Kerberos TGT を破棄したか 有効期限が切れている場合にのみ使用します ローカルマシンに IdM ユーザーとしてログインすると IdM に自動的にログインします これは ログイン後に IdM リソースにアクセスするのに kinit ユーティリティーを使用する必要がないことを示しています 1. IdM へのログイン ローカルシステムに現在ログインしているユーザーのユーザー名で ( ユーザー名を指定せずに ) kinit を使用します たとえば ローカルシステムにログインしているユーザーが example_user の場合は 次のコマンドを実行します [example_user@server ~]$ kinit Password for example_user@example.com: [example_user@server ~]$ ローカルユーザーのユーザー名と IdM のユーザーエントリーが一致しないと 認証に失敗します 19

24 Red Hat Enterprise Linux 8 Identity Management の設定および管理 [example_user@server ~]$ kinit kinit: Client 'example_user@example.com' not found in Kerberos database while getting initial credentials ローカルユーザー名に対応しない Kerberos プリンシパルを使用して kinit ユーティリティーに必要なユーザー名を渡します たとえば admin ユーザーとしてログインするには 以下のコマンドを実行します [example_user@server ~]$ kinit admin Password for admin@example.com: [example_user@server ~]$ 2. 必要に応じて ログインが成功したことを確認するには klist ユーティリティーを使用して キャッシュした TGT を表示します 以下の例では キャッシュに example_user プリンシパルのチケットが含まれています これは このホストでは IdM サービスにアクセスするのは example_user にのみ許可されていることを示しています $ klist Ticket cache: KEYRING:persistent:0:0 Default principal: example_user@example.com Valid starting Expires Service principal 11/10/ :35:45 11/10/ :35:45 krbtgt/example.com@example.com 6.4. KERBEROS 認証用のブラウザーの設定 Kerberos チケットによる認証を有効にするには ブラウザーの設定が必要になることもあります 以下のは IdM ドメインにアクセスする Kerberos ネゴシエーションに対応するのに役に立ちます 各ブラウザーは異なる方法で Kerberos をサポートしており 異なる設定が必要です IdM Web UI には 次のブラウザーに関するガイドラインが含まれています Firefox Chrome 1. Web ブラウザーで WebUI ログインダイアログを開きます 2. Web UI のログイン画面で ブラウザー設定のリンクをクリックします 20

25 第 6 章 WEB UI で IDM にログイン : KERBEROS チケットの使用 3. 設定ページのに従います 設定が完了したら IdM Web UI に戻り ログインをクリックします 6.5. KERBEROS チケットを使用した WEB UI へのログイン このでは Kerberos の TGT (ticket-granting ticket) を使用して IdM Web UI にログインする方法を説明します TGT は 事前定義された時間に有効期限が切れます デフォルトの時間間隔は 24 時間で IdM Web UI でそれを変更できます 期限が切れたら チケットを更新する必要があります kinit コマンドの使用 Web UI ログインダイアログで IdM ログイン認証情報を使用します IdM Web UI を開きます Kerberos 認証が正しく機能し 有効なチケットがある場合は 自動的に認証されて Web UI が開きます チケットの有効期限が切れている場合は 最初に資格情報を使用して認証する必要があります ただし 次からはログインダイアログを開かずに IdM Web UI が自動的に開きます エラーメッセージ Authentication with Kerberos failed が表示された場合は ブラウザーが Kerberos 認証用に設定されていることを確認してください Kerberos 認証用のブラウザーの設定 を参照してください 21

26 Red Hat Enterprise Linux 8 Identity Management の設定および管理 6.6. KERBEROS 認証用の外部システム設定 本セクションでは Identity Management (IdM) ユーザーが自身の Kerberos 認証情報を使用して 外部システムから IdM にログインするように外部システムを設定する方法を説明します 外部システムの Kerberos 認証を有効にすることは インフラストラクチャーに 複数のレルムまたは重複ドメインが含まれている場合に特に便利です また ipa-client-install を実行してシステムを IdM ドメインに登録していない場合にも便利です IdM ドメインのメンバーではないシステムから IdM への Kerberos 認証を有効にするには 外部システムに IdM 固有の Kerberos 設定ファイルを定義します 前提条件 外部システムに krb5-workstation パッケージがインストールされている パッケージがインストールされているかどうかを確認するには 次の CLI コマンドを使用します # yum list installed krb5-workstation Installed Packages krb5-workstation.x86_64 1. IdM サーバーから外部システムに /etc/krb5.conf ファイルをコピーします 以下に例を示します # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf 警告外部マシンにある krb5.conf ファイルは上書きしないでください 22 外部システムで コピーした 設定ファイルを使用するように 端末の設定を設定

27 第 6 章 WEB UI で IDM にログイン : KERBEROS チケットの使用 2. 外部システムで コピーした IdM Kerberos 設定ファイルを使用するように 端末の設定を設定します $ export KRB5_CONFIG=/etc/krb5_ipa.conf KRB5_CONFIG 変数は ログアウトまで一時的に存在します ログアウト時に削除されないように この変数のファイル名を変えてエクスポートします 3. /etc/krb5.conf.d/ ディレクトリーの Kerberos 設定部分を 外部システムにコピーします 4. Kerberos 認証用のブラウザーの設定 で記載されているように 外部システムのブラウザーを設定します 外部システムのユーザーが kinit ユーティリティーを使用して IdM サーバーで認証できるようになりました 6.7. ACTIVE DIRECTORY ユーザー用 WEB UI ログイン Active Directory ユーザーに対して Web UI ログインを有効にするには デフォルトの信頼ビューで Active Directory の各ユーザーに対して ID のオーバーライドを定義します 以下に例を示します [admin@server ~]$ ipa idoverrideuser-add 'Default Trust View' ad_user@ad.example.com 関連資料 Active Directory における ID ビューの詳細は Windows 総合ガイド の Active Directory 環境での ID ビューの使用 を参照してください 23

28 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 7 章ワンタイムパスワードを使用して IDENTITY MANAGEMENT WEB UI にログイン IdM Web UI へのアクセスは いくつかの方法を使用して保護できます 基本的なものはパスワード認証です パスワード認証のセキュリティーを許可するために 2 つ目のを追加して 自動生成ワンタイムパスワード (OTP) を要求できます 最も一般的な使用方法は ユーザーアカウントに関連付けられたパスワードと ハードウェアまたはソフトウェアのトークンにより生成された期限付きワンタイムパスワードを組み合わせることです 以下のセクションでは 次のことができます IdM で OTP 認証がどう機能するかを理解する IdM サーバーで OTP 認証を設定する OTP トークンを作成し そのトークンを 電話の FreeOTP アプリと同期する ユーザーパスワードとワンタイムパスワードの組み合わせで IdM Web UI に対して認証する Web UI でトークンを再同期する 7.1. 前提条件 5 章 Web ブラウザーで IdM Web UI へのアクセス 7.2. IDENTITY MANAGEMENT におけるワンタイムパスワード (OTP) 認証 ワンタイムパスワードにより 認証セキュリティーに関するステップが追加されます 認証では 自分のパスワード および自動生成されたワンタイムパスワードが使用されます ワンタイムパスワードを生成するには ハードウェアまたはソフトウェアのトークンを使用できます IdM は ソフトウェアトークンとハードウェアトークンの両方をサポートします Identity Management には 以下にある 2 つの標準 OTP メカニズムをサポートしています HMAC ベースのワンタイムパスワード (HOTP) アルゴリズムは カウンターに基づいています HMAC は Hashed Message Authentication Code ( ハッシュメッセージ認証コード ) を表しています 時間ベースのワンタイムパスワード (TOTP) アルゴリズムは 時間ベースの移動要素をサポートする HOTP の拡張機能です 重要 IdM は Active Directory 信頼ユーザーに対する OTP ログインに対応しません 7.3. WEB UI でワンタイムパスワードの有効化 IdM Web UI を使用すると ワンタイムパスワードを生成できるように ハードウェアデバイスまたはソフトウェアデバイスを設定できます 24

29 第 7 章ワンタイムパスワードを使用して IDENTITY MANAGEMENT WEB UI にログイン ワンタイムパスワードは ログインダイアログの専用フィールドで 通常のパスワードの直後に入力されます ユーザー設定で OTP 認証を有効にできるのは管理者だけです 前提条件 管理権限 1. ユーザー名およびパスワードを使用して IdM Web UI にログインします 2. Identity Users Active users タブを開きます 3. ユーザー名をクリックして ユーザー設定を開きます 4. User authentication types で Two factor authentication (password + OTP) を選択します 5. Save をクリックします この時点で OTP 認証は IdM サーバーで有効になります 新しいトークン ID をユーザーアカウントに割り当てて ハードウェアトークンまたは FreeOTP を設定します 7.4. WEB UI での OTP トークンの追加 次のセクションは IdM Web UI およびソフトウェアトークンジェネレーターに トークンを追加するのに役立ちます 前提条件 IdM サーバーにおけるアクティブなユーザーアカウント 管理者が IdM Web UI の特定のユーザーアカウントに対して OTP を有効にしている OTP トークンを生成するソフトウェアデバイス ワンタイムパスワードを生成するには FreeOTP アプリ (FreeOTP) を携帯電話にダウンロードします 1. ユーザー名とパスワードを使用して IdM Web UI にログインします 2. Authentication OTP Tokens タブを開いて 携帯電話でトークンを作成します 25

30 Red Hat Enterprise Linux 8 Identity Management の設定および管理 3. Add をクリックします 4. Add OTP token ダイアログボックスに何も入力せず Add をクリックします この段階で IdM サーバーはデフォルトパラメーターを使用してトークンを作成し QR コード付きページを開きます 5. QR コードを携帯電話にコピーします 6. OK をクリックして QR コードを閉じます これで ワンタイムパスワードを生成して IdM Web UI にログインできます 7.5. ワンタイムパスワードで WEB UI にログイン 26

31 第 7 章ワンタイムパスワードを使用して IDENTITY MANAGEMENT WEB UI にログイン このでは ワンタイムパスワード (OTP) を使用した IdM Web UI への最初のログインを説明します 前提条件 ユーザーアカウントに対して Identity Management サーバーで有効になっている OTP 設定が OTP 認証を使用している ユーザーおよび管理者は OTP を有効にできます OTP 設定を有効にするには Web UI でワンタイムパスワードの有効化 を参照してください 設定された OTP トークンを生成するハードウェアまたはソフトウェアのデバイス 1. Identity Management ログイン画面で 自身のユーザー名 または IdM サーバー管理者アカウントのユーザー名を入力します 2. 上記で入力したユーザーのパスワードを追加してください 3. デバイスでワンタイムパスワードを生成します 4. パスワードの直後にワンタイムパスワードを入力します ( スペースなし ) 5. Log in をクリックします 認証に失敗した場合は OTP トークンを同期します CA が自己署名証明書を使用する場合は ブラウザーに警告が表示されます 証明書を確認し セキュリティー例外を許可してから ログインを続行します IdM Web UI が開かない場合は Identity Management サーバーの DNS 設定を確認してください ログインが成功すると IdM Web UI が表示されます 7.6. WEB UI を使用した OTP トークンの同期 OTP ( ワンタイムパスワード ) でのログインに失敗した場合 OTP トークンは正しく同期しません 以下のテキストは トークンの再同期を説明します 前提条件 27

32 Red Hat Enterprise Linux 8 Identity Management の設定および管理 ログイン画面を開いている 設定した OTP トークンを生成するデバイス 1. IdM Web UI ログイン画面で Sync OTP Token をクリックします 2. ログイン画面で ユーザー名と Identity Management パスワードを入力します 3. ワンタイムパスワードを生成し First OTP フィールドに入力します 4. ワンタイムパスワードをもう一度生成し Second OTP フィールドに入力します 5. 必要に応じて トークン ID を入力してください 6. Sync OTP Token をクリックします 同期に成功したら IdM サーバーにログインできます 28

33 第 7 章ワンタイムパスワードを使用して IDENTITY MANAGEMENT WEB UI にログイン 7.7. 期限切れパスワードの変更 Identity Management の管理者は ユーザが次回ログインする時にパスワードの変更を強制できます パスワードを変更しないと IdM Web UI にログインできないことを意味します パスワードの有効期限は Web UI に初めてログインしたときに発生する可能性があります 有効期限パスワードのダイアログが表示されたら の指示に従ってください 前提条件 ログイン画面を開いている IdM サーバーへのアクティブなアカウント 1. パスワード有効期限のログイン画面に ユーザー名を入力します 2. 上記で入力したユーザーのパスワードを追加してください 3. ワンタイムパスワード認証を使用する場合は OTP フィールドにワンタイムパスワードを生成します OTP 認証を有効にしていない場合は このフィールドを空白のままにします 4. 確認のために新しいパスワードを 2 回入力します 5. Reset Password をクリックします パスワード変更が成功すると 通常のログインダイアログが表示されます 新しいパスワードでログインします 29

34 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 8 章 IDENTITY MANAGEMENT の公開鍵証明書 この章では Identity Management (IdM) で ユーザー ホスト およびサービスを認証するために使用する X.509 公開鍵証明書を紹介します 認証に加えて X.509 証明書は デジタル署名と暗号化も可能にし プライバシー 完全性 否認不可を実現します 証明書には 以下の情報が含まれます 証明書が認証するサブジェクト 証明書に署名 ( 検証 ) した人 つまり発行者 証明書の有効性の開始と終了 証明書の有効な用途 サブジェクトの公開鍵 公開鍵により暗号化したメッセージは 対応した秘密鍵により複号できます 証明書と それに含まれる公開鍵は 自由に利用できるようにできますが ユーザー ホスト またはマシンは その秘密鍵を秘密にしておく必要があります 8.1. IDM の認証局 認証局は信頼の階層で機能します 内部認証局 (CA) がある IdM 環境では CA が署名しているすべての証明書を すべての IdM ホスト ユーザー およびサービスが信頼します このルート CA とは別に IdM は ルート CA から証明書に署名する権限を付与されたサブ CA にも対応します 多くの場合 そのようなサブ CA が署名できる証明書は 特定の種類の証明書 ( たとえば VPN 証明書 ) です 証明書の観点からは 自己署名 IdM CA と 外部署名の間に違いがありません CA のロールは次のとおりです デジタル証明書を発効し 検証します 証明書に署名して 証明書がそれを提示するユーザー ホスト またはサービスに属することを証明します 内部 CA を使用する IdM 環境では 証明書の更新マスターであり 証明書失効リスト (CRL) を維持する CA が最高権限になります 8.2. 証明書および KERBEROS の比較 Kerberos は 安全ではないネットワークを介して通信するノードが 安全な方法で互いに ID を証明できるように チケットに基づいて作用するコンピューターネットワーク認証プロトコルです 表 8.1 証明書および Kerberos の比較 特徴 Kerberos X.509 Authentication はいはい Privacy オプションはい 30

35 第 8 章 IDENTITY MANAGEMENT の公開鍵証明書 Integrity オプションはい 関係する暗号の種類対称非対称 デフォルトの有効性短い (1 日 ) 長い (2 年 ) デフォルトでは Identity Management の Kerberos は 通信相手の ID のみを保証します 8.3. IDM でユーザーを認証する証明書を使用する利点と問題点 IdM でユーザーを認証する証明書を使用する利点は次のとおりです 通常 スマートカードの秘密鍵を保護する PIN は 通常のパスワードよりも簡単で覚えやすいです デバイスによっては スマートカードに保存されている秘密鍵をエクスポートできません これによりセキュリティーが強化されます スマートカードはログアウトを自動化できます IdM は ユーザーがリーダーからスマートカードを取り外すとユーザーをログアウトするように設定できます 秘密鍵を盗むには スマートカードへの物理的なアクセスが必要で スマートカードはハッキング攻撃に対して安全になります スマートカード認証は二要素認証です つまり 所有しているもの ( カード ) と 知っているもの (PIN) の両方が必要です スマートカードは 電子メールの暗号化など 他の目的に使用できる鍵を提供するため パスワードよりも柔軟性があります IdM クライアントである共有マシンでスマートカードを使用しても 通常 システム管理者に対して追加で発生する問題はありません 実際 スマートカード認証は共有マシンにとって理想的な選択肢です IdM のユーザーを認証する証明書を使用する問題点は次のとおりです ユーザーは スマートカードまたは証明書を紛失したり忘れたりして 実質的にロックアウトされる可能性があります PIN を複数回誤入力すると カードがロックされる可能性があります 一般に リクエストと セキュリティー担当者または承認者による承認との間にステップがあります IdM で セキュリティー担当者または管理者は ipa cert-request コマンドを実行する必要があります スマートカードとリーダーはベンダーやドライバーに固有のものになる傾向があります 多数のリーダーがさまざまなカードに使用できますが 特定のベンダーのスマートカードは 他のベンダーやリーダーの種類によっては機能しない場合があります 証明書とスマートカードの学習曲線は この分野の経験がない場合には難しく聞こえるかもしれません 31

36 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 9 章 IDM クライアントのデスクトップに保存されている証明書を使用した認証の設定 Identity Management (IdM) を設定すると IdM システム管理者は 認証局 (CA) がユーザーに発行した証明書を使用して IdM Web UI とコマンドラインインターフェース (CLI) に対してユーザーを認証できます Web ブラウザーは IdM ドメイン外のシステムで実行できます このユーザーストーリーのでは IdM クライアントのデスクトップに保存された証明書を使用して Identitiy Management の Web UI と CLI へのログインを効果的に設定およびテストする方法を説明します このユーザーストーリーでは 以下の点に注意してください 証明書を使用して認証するユーザーがすでに証明書を所有してる場合は 新しいユーザー証明書を要求し クライアントにエクスポート のを飛ばして次に進みます IdM CA でユーザーの証明書を発行している場合は 証明書とユーザーが互いにリンクしていることを確認 のを飛ばして次に進みます 注記 Identity Management ユーザーのみが 証明書を使用して Web UI にログインできます Active Directory ユーザーは ユーザー名とパスワードを使用してログインできます 9.1. WEB UI の証明書認証に対する IDENTITY MANAGEMENT サーバーの設定 Identity Management (IdM) 管理者は ユーザーが 証明書を使用して IdM 環境で認証できるように設定できます Identity Management 管理者が 以下を行います 1. Identity Management サーバーで管理者特権を取得し サーバーを設定するシェルスクリプトを作成します a. ipa-advise config-server-for-smart-card-auth コマンドを実行し その出力をファイル ( 例 : server_certificate_script.sh) に保存します # kinit admin # ipa-advise config-server-for-smart-card-auth > server_certificate_script.sh b. chmod ユーティリティーを使用して 実行パーミッションをファイルに追加します # chmod +x server_certificate_script.sh 2. Identity Management ドメインの全サーバーで server_certificate_script.sh スクリプトを実行します a. 証明書認証を有効にするユーザーの証明書を発行した唯一の認証局が IdM CA である場合は IdM Certificate Authority 証明書のパス (/etc/ipa/ca.crt) を使用します #./server_certificate_script.sh /etc/ipa/ca.crt 32

37 第 9 章 IDM クライアントのデスクトップに保存されている証明書を使用した認証の設定 b. 証明書認証を有効にするユーザーの証明書を外部の複数の CA が署名した場合は 関連する CA 証明書のパスを使用します #./server_certificate_script.sh /tmp/ca1.pem /tmp/ca2.pem 注記 トポロジー全体でユーザーの証明書認証を有効にする場合は 今後新たにシステムに追加する各レプリカに対してスクリプトを実行することを忘れないでください 9.2. 新しいユーザー証明書を要求し クライアントにエクスポート Identity Management (IdM) 管理者として IdM 環境でユーザーの証明書を作成し 作成した証明書を ユーザーの証明書認証を有効にする IdM クライアントにエクスポートできます 注記 証明書を使用して認証するユーザーがすでに証明書を持っている場合は 本セクションを飛ばして次に進みます 1. 必要に応じて 一時的な証明書データベースにする新しいディレクトリー (~/certdb/ など ) を作成し 後続ので生成される証明書へのキーを暗号化する NSS 証明書の DB パスワードを要求された場合は作成します # mkdir ~/certdb/ # certutil -N -d ~/certdb/ Enter a password which will be used to encrypt your keys. The password should be at least 8 characters long, and should contain at least one non-alphabetic character. Enter new password: Re-enter password: 2. 証明書署名要求 (CSR) を作成し その出力をファイルにリダイレクトします たとえば IDM.EXAMPLE.COM レルムの idm_user ユーザーの 4096 ビット証明書に対して certificate_request.csr という名前の CSR を作成する場合は 判別を簡単にするために 証明書の秘密鍵のニックネームを idm_user に設定し サブジェクトを CN=idm_user,O=IDM.EXAMPLE.COM に設定します # certutil -R -d ~/certdb/ -a -g n idm_user -s "CN=idm_user,O=IDM.EXAMPLE.COM" > certificate_request.csr 3. プロンプトが表示されたら certutil を使用して一時データベースを作成したときに入力したパスワードを入力します その後 止めるように言われるまで ランダムにタイピングし続けます Enter Password or Pin for "NSS Certificate DB": A random seed must be generated that will be used in the creation of your key. One of the easiest ways to create a random seed is to use the timing of keystrokes on a keyboard. 33

38 Red Hat Enterprise Linux 8 Identity Management の設定および管理 To begin, type keys on the keyboard until this progress meter is full. DO NOT USE THE AUTOREPEAT FUNCTION ON YOUR KEYBOARD! Continue typing until the progress meter is full: 4. 証明書要求ファイルをサーバーに送信します 新しく発行した証明書に関連付ける Kerberos プリンシパルと 証明書を保存する出力ファイルを指定し 必要に応じて証明書のプロファイルを指定します たとえば IECUserRoles プロファイルの証明書 (idm_user@idm.example.com プリンシパルに追加したユーザーロール拡張 ) を取得して それを ~/idm_user.pem ファイルに保存するには 次のコマンドを実行します # ipa cert-request certificate_request.csr --principal=idm_user@idm.example.com -- profile-id=iecuserroles --certificate-out=~/idm_user.pem 5. 証明書を NSS データベースに追加します 証明書が NSS データベースの秘密鍵に一致するように CSR を作成する際に使用したニックネームを設定するには -n オプションを使用します -t オプションは信頼レベルを設定します 詳細は man ページの certutil(1) を参照してください -i オプションは 入力証明書ファイルを指定します たとえば idm_user ニックネームを持つ証明書を NSS データベースに追加するには 以下のコマンドを実行します ~/certdb/ データベースの ~/idm_user.pem ファイルに保存されます # certutil -A -d ~/certdb/ -n idm_user -t "P,," -i ~/idm_user.pem 6. NSS データベースの鍵で ニックネームが (orphan) と表示されていないことを確認します たとえば ~/certdb/ データベースに保存されている証明書で 対応する鍵が存在することを確認するには 以下のコマンドを実行します # certutil -K -d ~/certdb/ < 0> rsa 5ad14d41463b87a095b1896cf0068ccc467df395 NSS Certificate DB: [replaceable]idm_user 7. 証明書を NSS データベースから PKCS12 形式にエクスポートするには pk12util コマンドを使用します たとえば /root/certdb NSS データベースから ~/idm_user.p12 ファイルへ idm_user ニックネームを持つ証明書をエクスポートするには 以下のコマンドを実行します # pk12util -d ~/certdb -o ~/idm_user.p12 -n idm_user Enter Password or Pin for "NSS Certificate DB": Enter password for PKCS12 file: Re-enter password: pk12util: PKCS12 EXPORT SUCCESSFUL 8. idm_user の証明書認証を有効にするホストに 証明書を転送します # scp ~/idm_user.p12 idm_user@client.idm.example.com:/home/idm_user/ 9. セキュリティー上の理由から 証明書が転送されたホストの.pkcs12 ファイルが格納されているディレクトリーに other グループがアクセスできないようにします # chmod o-rwx /home/idm_user/ 34

39 第 9 章 IDM クライアントのデスクトップに保存されている証明書を使用した認証の設定 10. セキュリティー上の理由から 一時 NSS データベースおよび.pkcs12 ファイルを サーバーから削除します # rm ~/certdb/ # rm ~/idm_user.p 証明書とユーザーが互いにリンクしていることを確認 注記 ユーザーの証明書が IdM CA により発行されている場合は 本セクションを飛ばして先に進みます 証明書が機能するには 証明書が それを使用して Identity Management (IdM) に認証を受けるユーザーにリンクされていることを確認する必要があります 証明書が Identity Management 環境外の認証局から提供されている場合は ユーザーアカウントのスマートカード証明書へのリンク に記載されているに従って ユーザーと証明書をリンクします 証明書が Identity Management CA により提供されている場合は その証明書がユーザーエントリーに自動的に追加されているため 証明書をユーザーアカウントにリンクする必要はありません IdM で新しい証明書を作成する方法は 新しいユーザー証明書を要求し クライアントにエクスポート を参照してください 9.4. ブラウザーで証明書認証の有効化 Identity Management の Web UI で証明書認証を機能させるには 証明書認証を有効にするホストで実行している Mozilla Firefox または Google Chrome のブラウザーに ユーザー証明書および認証局 (CA) 証明書をインポートする必要があります ホストが IdM ドメインに含まれている必要はありません Identity Management では 以下のブラウザーを使用して Web UI に接続できます Mozilla Firefox 38 以降 Google Chrome 46 以降 次のは Mozilla Firefox ブラウザーを設定する方法を説明します 1. Firefox を開き 設定 プライバシーとセキュリティに移動します 35

40 Red Hat Enterprise Linux 8 Identity Management の設定および管理 2. 証明書を表示をクリックします 3. あなたの証明書タブで インポートをクリックします PKCS12 形式のユーザー証明書を見つけて開きます OK をクリックし OK をクリックします 4. Identity Management 認証局が Firefox で信頼できる認証局として認識されていることを確認します a. IdM CA 証明書をローカルに保存します Firefox アドレスバーに IdM サーバーの名前を入力し IdM の Web UI に移動します 接続が安全ではないことを警告するページで 詳細をクリックします 例外を追加します 表示をクリックします 詳細タブで 認証局フィールドを強調表示します 36

41 第 9 章 IDM クライアントのデスクトップに保存されている証明書を使用した認証の設定 エクスポートをクリックします CA 証明書を CertificateAuthority.crt ファイルとして保存し 閉じるをクリックして キャンセルをクリックします b. IdM CA 証明書を 信頼できる認証局の証明書として Firefox にインポートします Firefox を起動し 設定に移動して プライバシーおよびセキュリティに移動します 37

42 Red Hat Enterprise Linux 8 Identity Management の設定および管理 証明書を表示をクリックします 認証機関タブで インポートをクリックします CertificateAuthority.crt ファイルで 上ので保存した CA 証明書を見つけて開きます 証明書を信頼し Web サイトを識別したら OK をクリックし OK をクリックします 5. Identity Management ユーザーとして証明書を使用して Identity Management の Web UI で認証 に進みます 9.5. IDENTITY MANAGEMENT ユーザーとして証明書を使用して IDENTITY MANAGEMENT の WEB UI で認証 次のでは Identity Management クライアントのデスクトップに保存されている証明書を使用して ユーザーが Identity Management (IdM) の Web UI を認証する方法を説明します 1. ブラウザーで Identity Management の Web UI ( 例 : に移動します 2. Login Using Certificate をクリックします 38 ユーザーの証明書が選択されているため Remember this decision のチェックをはずして OK

43 第 9 章 IDM クライアントのデスクトップに保存されている証明書を使用した認証の設定 3. ユーザーの証明書が選択されているため Remember this decision のチェックをはずして OK をクリックします 証明書に対応するユーザーとして認証されました 関連資料 認証に失敗した場合は Linux ドメイン ID 認証 およびポリシーガイド の スマートカード認証の失敗 を参照してください スマートカードを保存する証明書を使用した IdM の Web UI への認証方法は Linux ドメイン ID 認証 およびポリシーガイド の Identity Management サーバーのスマートカードリンクの管理 を参照してください 9.6. 証明書を使用して CLI への認証を可能にするように IDM クライアントを設定 IdM クライアントのコマンドラインインターフェース (CLI) で IdM ユーザーに対して証明書認証を有効にするには IdM ユーザーの証明書および秘密鍵を IdM クライアントにインポートします ユーザー証明書の作成および転送の詳細は 新しいユーザー証明書を要求し クライアントにエクスポート を参照してください IdM クライアントにログインし ユーザーの証明書と秘密鍵を含む.p12 ファイルを用意します Kerberos TGT (Ticket Granting Ticket) ファイルを取得してキャッシュを取得するには -X オプションに値 X509_username:/path/to/file.p12 を使用し ユーザーのプリンシパルで kinit コマンドを実行して ユーザーの X509 識別情報の場所を指定します たとえば ~/idm_user.p12 ファイルに保存されている識別情報を使用して idm_user の TGT を取得するには 次のコマンドを実行します $ kinit -X X509_idm_user='PKCS12:~/idm_user.p12' idm_user 注記 このコマンドは.pem ファイル形式 (kinit -X X509_username='FILE:/path/to/cert.pem,/path/to/key' user_principal) にも対応しています 39

44 Red Hat Enterprise Linux 8 Identity Management の設定および管理 第 10 章 IDM を管理する AD ユーザーを有効化 AD ユーザーの ID のオーバーライド Red Hat Enterprise Linux (RHEL) 7 では System Security Services Daemon (SSSD) で外部グループメンバーシップを使用して AD ユーザーとグループが POSIX 環境の IdM リソースにアクセスするのを許可します IdM LDAP サーバーには アクセスコントロールを付与する独自のメカニズムがあります RHEL 8 には AD ユーザーに対する ID ユーザーのオーバーライドを IdM グループのメンバーとして追加する更新が導入されました ID オーバーライドは 特定の Active Directory ユーザーまたはグループのプロパティーが特定の ID ビュー ( この場合は Default Trust View) 内でどのように見えるかを記述するレコードです この更新により IdM LDAP サーバーは IdM グループのアクセス制御ルールを AD ユーザーに適用できます AD ユーザーは IdM UI のセルフサービス機能 (SSH キーのアップロード 個人のデータの変更など ) を使用できるようになりました AD 管理者は 異なるアカウントおよびパスワードを 2 つ使用しなくても IdM を完全に管理できるようになります 注記 IdM の一部の機能は AD ユーザーには現在利用できません たとえば IdM の admins グループに所属する AD ユーザーが IdM ユーザーのパスワードを設定することはできません IDM を管理する AD ユーザーを有効にする ID オーバーライドの使用 前提条件 IdM サーバーで idm:dl1 ストリームが有効になっていて このストリームで配信される RPM に切り替えている # yum module enable idm:dl1 # yum distro-sync idm:dl1/adtrust プロファイルが IdM サーバーにインストールされている # yum module install idm:dl1/adtrust このプロファイルには ipa-idoverride-memberof パッケージなど Active Directory と信頼関係を結ぶ IdM サーバーのインストールに必要なパッケージがすべて含まれている Identity Management 環境が設定され動作している 詳細は Installing Identity Management を参照してください Identity Management 環境と Active Directory との間の信頼関係が設定され動作している このでは Active Directory (AD) ユーザーの ID オーバーライドを作成して使用し Identity Management (IdM) ユーザーと同じ権限を付与する方法を説明します このは 信頼コントローラーまたは信頼エージェントとして設定した IdM サーバーで行ってください 信頼サーバーおよび信頼エージェントの詳細は Planning Identity Management の Trust controllers and trust agents を参照してください 40

45 第 10 章 IDM を管理する AD ユーザーを有効化 1. IdM 管理者として デフォルトの信頼ビューで AD ユーザーの ID オーバーライドを作成します たとえば ユーザーの ID オーバーライドを作成するには 次のコマンドを実行します # kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com 2. デフォルトの信頼ビューから IdM グループに ID オーバーライドをメンバーとして追加します 問題のグループが IdM ロールのメンバーである場合に ID オーバーライドで示した AD ユーザーは IdM API ( コマンドラインインターフェース IdM の Web UI など ) を使用する場合に ロールにより付与されたすべての権限を取得します たとえば ad_user@ad.example.com ユーザーの ID オーバーライドを admins グループに追加するには 次のコマンドを実行します # ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com AD ユーザーとして IDM コマンドラインインターフェース (CLI) の管理 Active Directory ユーザーが Identity Management CLI にログインし 自分のロールに適したコマンドを実行できることを確認します 1. IdM 管理者の 現在の Kerberos チケットを破棄します # kdestroy -A 注記 MIT Kerberos の GSSAPI 実装が優先的にターゲットサービスの領域 ( この場合は IdM レルム ) から認証情報を選択するため Kerberos チケットの破棄が必要です 認証情報のキャッシュコレクション ( つまり KCM: KEYRING: または DIR: のタイプの認証情報キャッシュ ) が使用されている場合は IdM API へのアクセスに AD ユーザーの認証情報ではなく 取得しておいた admin またはその他の IdM プリンシパルの認証情報が使用されます 2. ID オーバーライドが作成された AD ユーザーの Kerberos 認証情報を入手します # kinit ad_user@ad.example.com Password for ad_user@ad.example.com: 3. AD ユーザーの ID オーバーライド使用する IdM グループのメンバーシップから生じるパーミッションが そのグループ内の任意の IdM ユーザーと同じものであることをテストします AD ユーザーの ID オーバーライドが admins グループに追加されている場合 AD ユーザーは たとえば IdM にグループを作成できます # ipa group-add some-new-group Added group "some-new-group" Group name: some-new-group GID:

46 Red Hat Enterprise Linux 8 Identity Management の設定および管理 42