トップ > Identity Management > アイデンティティ管理(1)現在の企業システムにおける相互運用上の課題

アイデンティティ管理(1)現在の企業システムにおける相互運用上の課題

Identity Management Red Hat Enterprise Linux

*本記事は「Red Hat Enterprise Linux Blog」に掲載された記事を翻訳したものです
原著:「An Introduction to Interoperability Challenges in the Modern Enterprise
執筆:Dmitri Pal
翻訳:ソリューションアーキテクト 森若 和雄

 

これから数回にわたって、アイデンティティ管理に関連した記事の翻訳を掲載していきます。

皆さんは食洗機を買い替えたことはありますか?もし経験があれば、単に「買う」だけではなく、倉庫からピックアップして配達し、古い食洗機を取りはずし、新しいものを配管する必要があることをご存知でしょう。新しい食洗機はスマートで、スタイリッシュで、静音性に優れ、省電力かもしれません。しかし、正しく配管されなければ何の意味もありません。1日の終わりに自動的に食器を洗うという贅沢を楽しむには、食洗機を正しく配管する必要があることは明らかです。

食洗機の接続は、Linuxシステムを既存の企業IT環境に追加することに似ていなくもありません。Linuxシステムを配備するときにも「配管」する必要があります。IT環境において、データとして共有されるいくつかのアイデンティティ情報に関連したオブジェクト(ユーザ、グループ、ホスト、サービス)は、食洗機に対しての水に似ていなくもないです。これらのアイデンティティ情報(食洗機なら水)なしでは、新しいマシンは使いものになりません。新しいシステム(または食洗機)が正しく接続されていることは必須ではないかもしれませんが、重要です。

アイデンティティ情報は、リソースやシステムと連携します。また、正しく連携するためにアイデンティティ情報は認証される必要があり、実際に誰が何をできる権限を持っているかを決めるために、ポリシーを適用する必要があります。アイデンティティ情報は、人(たとえば企業内アプリケーションを操作している従業員)または相互に自動連携するシステムやサービスを表すことができます。

人、システム、サービスについて、信頼性を確立するため、アイデンティティ情報には何らかの形で認証情報(パスワードやキーなど)が必要です。確かに本人(または本当のシステムやサービス)であるということを証明するために、認証情報を利用します。異なるアイデンティティ情報を偽装することができないように、認証情報そのものは秘密として扱われる必要があります。そのような注意を要する情報を晒さないようにするために、中央のデータベースに認証情報を保存することが、認証情報を保護するための適切なアプローチです。

Lightweight Directory Access Protocol(LDAP)は、アイデンティティ情報とその認証をおこなうための認証情報を保存するための手段を提供しています。LDAPの標準に基づいたオープンソースまたはクローズドソースの実装が多数あります。現在、企業にもっとも普及しているLDAPベースのソリューションはMicrosoftのActive Directory(AD)です。いくつかの推計によると、ADは企業の90%以上に導入されています。ADはいろいろなアイデンティティ情報群と認証情報を管理し、認証を行う便利な手段を提供することで普及しました。つまり、ADは単純なLDAPサーバーではありません。ADはKerberosサーバーとDNSサーバーを含んでいます(以下のイメージ参照)。この追加機能によりADはKerberosベースの認証とシングルサインオンが可能になっています。また、DNSを含んでいることでKerberosの管理が非常に簡単になっています。

f:id:mrwk:20201111150149p:plain



ADは10年以上前から提供されており、時間が経つにつれて多くの環境の中心となっています。多くのサービスや製品がADに依存し、統合され、ADが存在することを前提としています。

企業環境に導入されたLinuxシステムは、ADと連携する必要に直面します。不幸にして、LinuxとADはアイデンティティ情報について異なる表現と前提を持っています。これは、LinuxシステムをAD環境に統合するのをいくらか複雑にしています。

食洗機のたとえ話に戻ると、新しい食洗機の引き入れ口のバルブが伝統的な0.5インチではなく12mmだとしてみましょう。何が必要でしょうか?アダプターが要りますね。食洗機の設置であれば、これは比較的「頭を使わない」話で、単純にアダプターを買います(おそらく店舗の食洗機売り場の近くにあるでしょう)。この「修正」は、きわめてうまく動作します。特に、ひとつの機材だけを扱うときには。異なるサイズのパイプを想定した複数の機材をもっている場合はどうでしょう?この場合には、それぞれの機材を想定どおりのパイプに接続してから、そのパイプを給水栓につなぐのが簡単(かつ安い)でしょう。後者のアプローチでは、アダプタが必要になるのは2種類のサイズのパイプを中継するために使う1箇所だけです。

食洗機の例のように、LinuxシステムをADに接続するには複数の方法があります。一般的に、おおきく2種類の方式に分けられます: 直接統合と、間接統合です。あとに続くブロク記事では、これらのオプションをさらに細かく見ていきます。つづきをお楽しみに。

* 各記事は著者の見解によるものでありその所属組織を代表する公式なものではありません。その内容については非公式見解を含みます。