2015年 11月 の投稿一覧

Red Hat Insightsとは

既存のRed Hat Enterprise Linux環境について、「特に問題がでていないので」塩漬けにしてしまっているケースが多くあるかと思います。このような環境でも既知の脆弱性や問題が含まれていることがあります。 Red Hat Insightsは既知の脆弱性や問題を自動的に検出し、実際に障害が発生する前に対策することを目的としたサービスです。

Red Hat Insights とは

レッドハットの森若です。

Red Hat InsightsはRed Hat Enterprise Linux について、重要な問題の発見、調査、解決を支援するためのサービスです。執筆時点ではRHELを使っているお客様ごとにそれぞれ10台まで無償で登録することができます。11台以上の登録については、現在はEarly Access Programとして一部のお客様に試していただいている段階ですが、将来的には有償サービスとして一般へ展開予定です。

Red Hat Insights はRHEL 6以降で提供される redhat-access-insights パッケージと、Red Hatカスタマーポータル内のサービスの組み合わせで実現されています。

各RHELにredhat-access-insights パッケージを導入し、定期的に構成情報や現在動作しているサービスなどの情報をRed Hatカスタマーポータルへ送付します。送付された情報はルールに基いて自動的に評価され、レポートを表示します。このルールは、サポートへのお問い合わせが多い問題や、重大な脆弱性についての情報を元に作成されていています。

https://access.redhat.com/insights/ にアクセスしてレポートを確認できます。

レポートには発見された問題(らしきもの)のカテゴリと重大度による分類が表示され、それぞれの問題について詳細が確認できます。既知の脆弱性、複数の設定間の齟齬、既知の問題がある設定などを検出します。それぞれの問題について、問題の説明、対応方法、関連するナレッジベースの記事を確認できます。

Red Hatでは継続的にルールを開発・更新しています。Red Hat Insightのレポートをメールで送信する設定があり、有効にすると週次で新規に発見された問題や、登録されたシステムの更新状況を受信できます。

筆者も実際に古いRHEL6の仮想マシンを登録してみたところ、208.5日問題をはじめとしていくつかの問題の指摘を確認できました。

インターネット接続が許されていない環境のRHELについても、Red Hat Satelliteをプロキシーとして動作させることで多くの場合に対応が可能です。この場合Red Hat Satelliteはカスタマーポータルへの接続が必要です。

参考資料

 https://access.redhat.com/insights/getting-started/ 「Red Hat Insights はじめに」

Identity Manager (IdM)とは?

Red Hat Enterprise Linux に付属するID管理ソフトウェアIdentity Manager (IdM)を紹介します

Identity Manager (IdM)とは?

Red Hat Enterprise Linux に付属するID管理ソフトウェアです。upstreamプロジェクトはfreeipaです。

できること:

  • Red Hat Enterprise Linux上でのユーザ、ホスト、サービスの認証をおこない、シングルサインオン環境を構築できます。

  • Active DirectoryとCross realm trustを構成してWindows – Linuxにまたがるシングルサインオンが構成できます。

  • 一般的なプロトコル(LDAP, Kerberos, DNS)を利用しているので他社製品や古いRHELでの認証にも利用できます

  • sudo, automount, sshの公開鍵なども一緒に管理します

  • RHEL 7.1同梱版からはHOTP、TOTPによる2要素認証にも対応しています
  • サーバへのログインだけでなくアプリケーションの認証にも利用できます。PAMによる認証、mod_auth_mellonによるSAML認証、Kerberosによる認証などへ対応しています。Red Hatの各製品においてもIdMへの対応が徐々に進んでいます。

 

できないこと:

  • 汎用的なLDAPサーバではありません。認証に特化しています。

  • 他社製品のクライアント側についてのサポートはされません。

  • WindowsのID管理を統合するものではありません

Identity Manager 実装上の特徴

  • 標準技術の組み合わせにより実装されています

    • そのため特に「IdMに対応」していない古いRHELやUnix系OSからも利用することができます

  • 非常にセキュア側に機能を制限しています。具体的には:

    • パスワード再発行時には管理者が発行したあと必ずユーザー自身による再設定が強制される

    • パスワードのハッシュ値そのものは管理者であっても通常のクエリでは参照できないし、設定もできない

    • パスワードはハッシュ値のみしか保持しない

  • Active Directoryとの連携も用意しています

    • Active DirectoryからIdMへパスワード更新をレプリケーションすることができます

    • IdMからActive Directoryへはレプリケーションできません。これはIdMではハッシュ値でしかパスワードを保持しないためです。

    • Cross realm trustにより、ADで発行したチケットを利用してIdMで認証、またはその逆が可能です。これによりWindows環境とLinux環境をまたいだシングルサインオンを実現します(RHEL7.0以降に同梱されるIdMから。クライアントはRHEL6.4以降)

  • 既存環境からの移行を想定しています

    • NISやLDAPからの移行をサポートするスクリプトとドキュメントが同梱されています

  • UI

    • WebとコマンドラインでのUIが用意されています

  • 可用性

    • 20マルチマスタまでサポートし、高可用性はマルチマスタ構成と、

    • SSSDのキャッシュ機能により実現します。

  • identity managerはいろいろなOSSを組みあわせて実装されています。

    • NTPd, 389DirectoryServer (LDAPサーバ), MIT Kerberos, bind (DNSサーバ)など既存のもの 

    • freeipa, dogtag, ipa-otpdなど新規に作成されたもの

  • Identity ManagerではActive Directoryに似た「ドメイン」の概念を導入しています。

    • 基本的にIdentity Managerは1ドメインの管理しかおこないません。

    • クライアント側はSSSDにより複数のドメインに参加することができます。クライアント数に制限はありません。

費用に関連する特徴

  • RHEL Serverに同梱されていて追加費用はかかりません

  • アカウント数や接続数が増えても特に追加費用はかかりません

  • 直接ADに問いあわせる場合と比べてCALを減らせます。Cross realm trustによる連携をおこなう場合, ADと連携してシングルサインオンが可能でありつつもIdMで管理されているのでADのCALが不要です。

FAQ

  • IdMをつかわずにActive Directoryに直接といあわせたらいいのでは?

    • はい。そうやって構成することもできます(Direct Integrationと呼ばれています)。この場合はRHELに同梱されるSSSDを利用してActive Directoryに接続すると設定が容易です。

    • 台数が少ない場合(30台くらいまで)ならいいかもしれません。多いとADのCAL費用が気になります。

    • https://msdn.microsoft.com/en-us/library/cc731178.aspx によると、Identity Management for Unix はdeprecatedになりましたのでMSからサポートされる手順がなくなってしましました。この点については自己責任で利用することになります。

  • IdMをRHELでつかうときに注意することは?

    • 管理される側のRHELバージョンによりIdMのどの機能をサポートしているかなどの詳細が変わります。以下はADとのTrustがどの機能で有効かの対応表です。

  • サーバの前提条件は以下にまとまっています

  • IdMに全てを集約して、Windowsクライアントの認証も統合できますか?

    • サポートされませんし推奨もされませんが、WindowsにMIT Kerberosのクライアントを入れればできなくはないとおもわれます。

    • WindowsについてはADで管理し、Linux, UnixについてはIdMでというのが現実的なIdMの利用モデルです。

ドキュメント

(レッドハット ソリューションアーキテクト 森若和雄)