IBM Red Hat Dojo #03 RHELの認証基盤を体験してみよう

Transcript

1. Sli.doによるライブ投票にご協⼒をお願い致します。 1 Join aslido.com #RedHatDojo1109

2. IBM Developer IBM Red Hat Dojo #03 RHELの認証基盤を体験してみよう Active Directory

   のように Linux でも認証基盤を使えないものか。。。 Identity Management (Idm) によるLinux向け認証基盤をご紹介致します。 Online 2

3. 松島 輝昌 ⽇本アイ・ビー・エム デジタルセールス事業 レッドハット・デマンドクリエーション IoT, Python, C# 3

4. 本⽇の⽬的とゴール ⽬的 •Linux版のLDAPツールとしての Directory Server/Identity Management をご紹 介致します。 •Identity Management

   (OSS版)を通してLinuxの認証基盤を体験していただきま す。 ゴール •WebUI上でユーザー/グループ/ホスト管理を体験していただきます。 •WebUI上でユーザーを作成しSSO環境を体験していただきます。 本イベントの想定参加者 •システム構築や検討に関わる⽅でLinuxの認証基盤に興味がある⽅ •PCの基本操作が可能な⽅ 4

5. コンテンツ 1. Identity Management(Idm) 紹介 2. ハンズオン I. Idmサーバーへログイン II.

   IdmサーバーのWebUI経由でユーザーを作成 III.作成したユーザー経由でシングルサインオンを体験 IV. Quiz。割り当てられたHBACはどんなものか、当ててみる 5

6. 1. Identity Management(Idm) 認証管理基盤 LDAPサーバーへアクセスする時に使うプロトコルがLDAP。 ネットワークの情報を⼀元管理するディレクトリサーバーをLDAPサーバー。 6 LDAPの仕組み •Windows Active

   Directory(AD) •Linux Open LDAP、Samba等多数 LDAP サーバ アプリケーション サーバ ユーザー ① ② ③ ④ LDAP 参照 【図解】初⼼者にも分かるLDAP⼊⾨〜仕組みや概念,ス キーマ,認証/連携の具体例,ADやデータベースとの違い〜

7. 7 SSL v3の脆弱性

8. 8 •Identity Management •Red Hat Directory Server

9. 1. Identity Management(Idm) 9 Identity Management Directory Server =LDAPサーバー Identitiy

   Mangement •LDAP機能 •SSO機能 •公開鍵基盤 •DNS機能 •WebUI機能

10. • Identity Management でできること • ☑RHEL系 Linux 上でのユーザ/ホスト/サービス(プリンシパル)の⼀元管理 • ☑上記プリンシパルに対する

    Kerberos 認証によるシングルサインオン • ☑AD のセキュリティグループのようなグループ管理 • ☑ホストベースアクセス制御(HBAC) •AD とフォレスト信頼を結び，AD ユーザが FreeIPA 内のサービスにアクセスす る際にシングルサインオンを提供する。 •⼆要素認証 (TOTP, HOTP) •証明書の発⾏ •XMLRPC API の提供 •マルチマスタレプリケーション •ロールベースアクセス制御 (RBAC) •その他 10 1. Identity Management(Idm)

11. 2. ハンズオン 11 ①Identity Management のWebUI を操作 ②Kerberos 認証によるシングルサインオン、ホストベースアクセス制御(HBAC)を体験 ⼿元のPC

    (Mac/Windows) RHEL8 Idm Server RHEL8 Idm Client RHEL8 Idm Client RHEL8 Idm Client ① rhdojo03ipa rhdojo03cli1 Ubuntu18 Idm Client ② ② ② ② rhdojo03cli2 rhdojo03cli3 rhdojo03cli4

12. 1. Idmサーバーへログイン 2. Idmサーバー の WebUI を通してユーザーを作成 ユーザーを⾃分たちでつくってもらう 3. Idmサーバー

    が管理する複数の機器へ作成したユーザーでサインオン 4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 講師が⽤意したHBACを有効・無効を切り替えて、参加者がアクセスを確認 12 2. ハンズオン インストール・設定等につきましては、以下Qiitaに記載いたしましたのでご参照くださ い。 FreeIPA で IBM Cloud 上に LDAP 認証基盤を構築 https://qiita.com/TeruyoshiMatsu3/items/6db4c4ba2f54c742c764

13. 2. ハンズオン • Setp1. Idmサーバーへログイン 13 ① をクリック ②「Windows PowerShell」

    をクリック ③ PowerShell起動 ④ PowerShellをピンどめ Windowsご利⽤の⽅へ 今回はPowerShellを多⽤しますので、タスクバー へピン留めしておくことをお勧めします。

14. 2. ハンズオン ・step1.Idmサーバーへログイン 14 Windows Linux C:¥Windows¥System32¥driv ers¥etc¥hostsファイルを編集 /etc/hosts ファイルを編集以

    下を追記 「詳細設定」をクリック」 「…安全ではありませ ん。」をクリック 161.202.122.172 rhdojo03ipa.rhdojo03.local rhdojo03ipa 161.202.122.174 rhdojo03cli1.rhdojo03.local rhdojo03cli1 161.202.122.163 rhdojo03cli2.rhdojo03.local rhdojo03cli2 161.202.122.165 rhdojo03cli3.rhdojo03.local rhdojo03cli3 161.202.122.167 rhdojo03cli4.rhdojo03.local rhdojo03cli4 IPアドレスとFQDNの対応をHostsファイルに記載 Webプラウザのアドレス欄に[161.202.122.172 ]

15. 2. ハンズオン • Step1. Idmサーバーへログイン 15 IEの認証をキャンセル ID:trial, PWD:p@ssw0rd

16. 2. ハンズオン • Step2. Idmサーバーの WebUI を通してユーザーを作成 16 ①[Identity] [Users]

    が選択されている ことを確認 ②[Add]をクリック

17. 2. ハンズオン • Step2. Idmサーバーの WebUI を通してユーザーを作成 (⼀意になるようなユーザー名) 17 ①必須項⽬を⼊⼒

    ②[Add]クリック

18. 2. ハンズオン • Step3. 作成したユーザーでサインオン 18 1. Windowsから PowerShell を起動

    2. ssh [ユーザー名]@rhdojo03rcli1.rhdojo03.local 3. ssh [ユーザー名]@rhdojo03rcli2.rhdojo03.local 4. ssh [ユーザー名]@rhdojo03rcli3.rhdojo03.local 5. ssh [ユーザー名]@rhdojo03rcli4.rhdojo03.local ssh [email protected] コマンド例 海外キーボードになっています。 ＠: “shift” + “2”

19. 2. ハンズオン • Step4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 19 これからある設置をしたHBACを有効にします。 有効にした後、各ユーザーから管理対象機器にログインできるか確認し、 以下の表を完成させてください。(アクセス可：◦、アクセス不可：✗) rd03rcli1

    rd03rcli2 rd03rcli3 rd03ucli4 rd03wcli1 user01 ◦ ✗ ✗ ✗ ✗ user02 user03 user04 Quiz パスワード p@ssw0rd p@ssw0rd p@ssw0rd p@ssw0rd

20. • Step4. HBAC付与の際に実施したこと 20 2. ハンズオン ①[Identity] [Users] が選択されている ことを確認

    ②[Groups]をクリック

21. • Step4. HBAC付与の際に実施したこと 21 2. ハンズオン ①[Host Groups] を選択 ②[Add]をクリック

    ③必須項⽬⼊⼒後 [Add]をクリック

22. 2. ハンズオン • Step4. HBAC付与の際に実施したこと 22 ①[Policy]を選択 ②[HBAC Rules]となっていることを確認 ②[Add]をクリック

    ③必須項⽬⼊⼒後 [Add]をクリック

23. 2. ハンズオン • Step4. HBAC付与の際に実施したこと 23 ・どのユーザーに対する設定？ ・どのホストに対する設定？ ・どんなサービスを設定する？

24. 2. ハンズオン • Step4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 24 これからある設置をしたHBACを有効にします。 有効にした後、各ユーザーから管理対象機器にログインできるか確認し、 以下の表を完成させてください。(アクセス可：◦、アクセス不可：✗) rd03rcli1

    rd03rcli2 rd03rcli3 rd03ucli4 rd03wcli1 user01 ◦ ✗ ✗ ✗ ✗ user02 ✗ ✗ ◦ ✗ ✗ user03 ✗ ◦ ✗ ◦ ✗ user04 ◦ ✗ ◦ ✗ ✗ Quiz 答

25. 2. ハンズオン • Quiz結果検証 25 25 user02 User01でホスト01にアクセスできること ホスト02,03にアクセスできないことを確認 user03

    User02でホスト02にアクセスできること ホスト01,03にアクセスできないことを確認 user04 User03でホスト03にアクセスできること ホスト01,02にアクセスできないことを確認

26. 1. OpenLDAPについて RHEL では⾮推奨 代替としてこれからは Identity Management(Idm) 2. Linux でもユーザーやホストを⼀元管理することを体験できた︕

    作成したユーザーでSSOを体験することができた︕ HBAC を体験することができた︕ 本⽇の振り返り 26

27. 1. Red Hat エンジニアの「開発者のためのセキュリティ実践講座」 Linuxの認証を簡単にする「FreeIPA」とは 2. Red Hat 社システムアーキテクトによる「FreeIPAの紹介」 https://www.slideshare.net/moriwaka/freeipa20171129

    3. FreeIPA Webサイト https://www.freeipa.org/page/Documentation 参考リンク 27

28. Appendix 以下については、 Qiitaに記載いたしましたのでご参照ください。 FreeIPA で IBM Cloud 上に LDAP 認証基盤を構築

    • RHEL8 IPA Server インストール＆設定 • RHEL8 IPA Client インストール＆設定 • Ubuntu18 IPA Client インストール＆設定 28

29. 次回12/14(⽉)に 「 Red Hat Dojo #4 : Red Hat Insights

    を使って IBM Cloud 上の RHEL8 を覗いてみよう︕」 を予定しております。 予告 29

30. Sli.doによるライブ投票にご協⼒をお願い致します。 30

31. IBM Developer Dojoは開発者の⽅を対象に、IBM Cloudを主とした技術情報をお伝えする⽬的で開催して います。講師や運営スタッフにより、開催毎に最適と判断した内容でお届けしています。 現在、ハンズオンを伴う講義はお客様の費⽤負担がない環境と⼿順でご案内しています。講義終了後、不要 になりました制作物はお客様ご⾃⾝で削除をお願いいたします。クレジットカードの登録が伴わない場合、 費⽤は⼀切発⽣致しませんが、ご登録いただいたお客様はご注意ください。 講師陣はみなさまの利⽤状況を個別に確認することはできません。 ご理解とご協⼒をお願いいたします。

    利⽤したサービスの削除⽅法については講義の中でご案内します。 ご不明な点がございましたら、当⽇確認をお願いいたします。 講義終了後、 IBM Developer Dojoに関するお問い合わせは「Slack」にお願いします。それ以外のIBM Cloudのお問い合わせにつきましては、弊社サポートセンターまで、次のいづれかの⽅法でお問い合わせく ださい。 IBM Cloudダッシュボードの「サポート」メニューから「Case」を作成し、英語でご記⼊ください IBM Cloudサポートセンター「相談する」ボタンからチャットまたは電話でご連絡ください https://www.ibm.com/jp-ja/cloud/support ご参加ありがとうございました。 免責事項 31

32. EOF 32