Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IBM Red Hat Dojo #03 RHELの認証基盤を体験してみよう
Search
Mats
November 30, 2020
Technology
0
320
IBM Red Hat Dojo #03 RHELの認証基盤を体験してみよう
Active Directory のように Linux でも認証基盤を使えないものか。。。
Identity Management (Idm) によるLinux向け認証基盤をご紹介致します
Mats
November 30, 2020
Tweet
Share
More Decks by Mats
See All by Mats
watsonx.ai 利用準備とデモアプリ紹介(後編:基礎編)
teruterubohz_
0
220
230928 watsonx.ai 利用準備とデモアプリ紹介(前編:環境構築編)
teruterubohz_
0
330
2023/08/31 Watson でつくる生成AIチャットボット
teruterubohz_
0
200
2023/07/20 Watson Discovery / Watson Assistant連携アプリ開発体験
teruterubohz_
0
230
Watson Assistant チャットボットと連携するアプリ開発体験(会話フロー作成・API会話編)
teruterubohz_
0
260
WatsonAssistant0525.pdf
teruterubohz_
0
150
Watson Discovery
teruterubohz_
0
430
tech dojo openshift s2i using cli
teruterubohz_
0
410
Red Hat Dojo #04 : Red Hat InsightsからRHEL8を覗こう❢
teruterubohz_
0
220
Other Decks in Technology
See All in Technology
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
airhelpsupport
0
390
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
flyaahelpguide
0
160
Sansanのデータプロダクトマネジメントのアプローチ
sansantech
PRO
0
200
データ基盤からデータベースまで?広がるユースケースのDatabricksについて教えるよ!
akuwano
3
140
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
kazari0425
1
110
QuickSight SPICE の効果的な運用戦略~S3 + Athena 構成での実践ノウハウ~/quicksight-spice-s3-athena-best-practices
emiki
0
150
AWS CDK 開発を成功に導くトラブルシューティングガイド
wandora58
3
130
Claude Code に プロジェクト管理やらせたみた
unson
7
4.7k
CDKTFについてざっくり理解する!!~CloudFormationからCDKTFへ変換するツールも作ってみた~
masakiokuda
1
180
VGGT: Visual Geometry Grounded Transformer
peisuke
1
290
CDK Toolkit Libraryにおけるテストの考え方
smt7174
0
220
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
you
PRO
0
210
Featured
See All Featured
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
980
Designing Experiences People Love
moore
142
24k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.9k
Practical Orchestrator
shlominoach
189
11k
Designing for humans not robots
tammielis
253
25k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Transcript
Sli.doによるライブ投票にご協⼒をお願い致します。 1 Join aslido.com #RedHatDojo1109
IBM Developer IBM Red Hat Dojo #03 RHELの認証基盤を体験してみよう Active Directory
のように Linux でも認証基盤を使えないものか。。。 Identity Management (Idm) によるLinux向け認証基盤をご紹介致します。 Online 2
松島 輝昌 ⽇本アイ・ビー・エム デジタルセールス事業 レッドハット・デマンドクリエーション IoT, Python, C# 3
本⽇の⽬的とゴール ⽬的 •Linux版のLDAPツールとしての Directory Server/Identity Management をご紹 介致します。 •Identity Management
(OSS版)を通してLinuxの認証基盤を体験していただきま す。 ゴール •WebUI上でユーザー/グループ/ホスト管理を体験していただきます。 •WebUI上でユーザーを作成しSSO環境を体験していただきます。 本イベントの想定参加者 •システム構築や検討に関わる⽅でLinuxの認証基盤に興味がある⽅ •PCの基本操作が可能な⽅ 4
コンテンツ 1. Identity Management(Idm) 紹介 2. ハンズオン I. Idmサーバーへログイン II.
IdmサーバーのWebUI経由でユーザーを作成 III.作成したユーザー経由でシングルサインオンを体験 IV. Quiz。割り当てられたHBACはどんなものか、当ててみる 5
1. Identity Management(Idm) 認証管理基盤 LDAPサーバーへアクセスする時に使うプロトコルがLDAP。 ネットワークの情報を⼀元管理するディレクトリサーバーをLDAPサーバー。 6 LDAPの仕組み •Windows Active
Directory(AD) •Linux Open LDAP、Samba等多数 LDAP サーバ アプリケーション サーバ ユーザー ① ② ③ ④ LDAP 参照 【図解】初⼼者にも分かるLDAP⼊⾨〜仕組みや概念,ス キーマ,認証/連携の具体例,ADやデータベースとの違い〜
7 SSL v3の脆弱性
8 •Identity Management •Red Hat Directory Server
1. Identity Management(Idm) 9 Identity Management Directory Server =LDAPサーバー Identitiy
Mangement •LDAP機能 •SSO機能 •公開鍵基盤 •DNS機能 •WebUI機能
• Identity Management でできること • ☑RHEL系 Linux 上でのユーザ/ホスト/サービス(プリンシパル)の⼀元管理 • ☑上記プリンシパルに対する
Kerberos 認証によるシングルサインオン • ☑AD のセキュリティグループのようなグループ管理 • ☑ホストベースアクセス制御(HBAC) •AD とフォレスト信頼を結び,AD ユーザが FreeIPA 内のサービスにアクセスす る際にシングルサインオンを提供する。 •⼆要素認証 (TOTP, HOTP) •証明書の発⾏ •XMLRPC API の提供 •マルチマスタレプリケーション •ロールベースアクセス制御 (RBAC) •その他 10 1. Identity Management(Idm)
2. ハンズオン 11 ①Identity Management のWebUI を操作 ②Kerberos 認証によるシングルサインオン、ホストベースアクセス制御(HBAC)を体験 ⼿元のPC
(Mac/Windows) RHEL8 Idm Server RHEL8 Idm Client RHEL8 Idm Client RHEL8 Idm Client ① rhdojo03ipa rhdojo03cli1 Ubuntu18 Idm Client ② ② ② ② rhdojo03cli2 rhdojo03cli3 rhdojo03cli4
1. Idmサーバーへログイン 2. Idmサーバー の WebUI を通してユーザーを作成 ユーザーを⾃分たちでつくってもらう 3. Idmサーバー
が管理する複数の機器へ作成したユーザーでサインオン 4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 講師が⽤意したHBACを有効・無効を切り替えて、参加者がアクセスを確認 12 2. ハンズオン インストール・設定等につきましては、以下Qiitaに記載いたしましたのでご参照くださ い。 FreeIPA で IBM Cloud 上に LDAP 認証基盤を構築 https://qiita.com/TeruyoshiMatsu3/items/6db4c4ba2f54c742c764
2. ハンズオン • Setp1. Idmサーバーへログイン 13 ① をクリック ②「Windows PowerShell」
をクリック ③ PowerShell起動 ④ PowerShellをピンどめ Windowsご利⽤の⽅へ 今回はPowerShellを多⽤しますので、タスクバー へピン留めしておくことをお勧めします。
2. ハンズオン ・step1.Idmサーバーへログイン 14 Windows Linux C:¥Windows¥System32¥driv ers¥etc¥hostsファイルを編集 /etc/hosts ファイルを編集以
下を追記 「詳細設定」をクリック」 「…安全ではありませ ん。」をクリック 161.202.122.172 rhdojo03ipa.rhdojo03.local rhdojo03ipa 161.202.122.174 rhdojo03cli1.rhdojo03.local rhdojo03cli1 161.202.122.163 rhdojo03cli2.rhdojo03.local rhdojo03cli2 161.202.122.165 rhdojo03cli3.rhdojo03.local rhdojo03cli3 161.202.122.167 rhdojo03cli4.rhdojo03.local rhdojo03cli4 IPアドレスとFQDNの対応をHostsファイルに記載 Webプラウザのアドレス欄に[161.202.122.172 ]
2. ハンズオン • Step1. Idmサーバーへログイン 15 IEの認証をキャンセル ID:trial, PWD:p@ssw0rd
2. ハンズオン • Step2. Idmサーバーの WebUI を通してユーザーを作成 16 ①[Identity] [Users]
が選択されている ことを確認 ②[Add]をクリック
2. ハンズオン • Step2. Idmサーバーの WebUI を通してユーザーを作成 (⼀意になるようなユーザー名) 17 ①必須項⽬を⼊⼒
②[Add]クリック
2. ハンズオン • Step3. 作成したユーザーでサインオン 18 1. Windowsから PowerShell を起動
2. ssh [ユーザー名]@rhdojo03rcli1.rhdojo03.local 3. ssh [ユーザー名]@rhdojo03rcli2.rhdojo03.local 4. ssh [ユーザー名]@rhdojo03rcli3.rhdojo03.local 5. ssh [ユーザー名]@rhdojo03rcli4.rhdojo03.local ssh
[email protected]
コマンド例 海外キーボードになっています。 @: “shift” + “2”
2. ハンズオン • Step4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 19 これからある設置をしたHBACを有効にします。 有効にした後、各ユーザーから管理対象機器にログインできるか確認し、 以下の表を完成させてください。(アクセス可:◦、アクセス不可:✗) rd03rcli1
rd03rcli2 rd03rcli3 rd03ucli4 rd03wcli1 user01 ◦ ✗ ✗ ✗ ✗ user02 user03 user04 Quiz パスワード p@ssw0rd p@ssw0rd p@ssw0rd p@ssw0rd
• Step4. HBAC付与の際に実施したこと 20 2. ハンズオン ①[Identity] [Users] が選択されている ことを確認
②[Groups]をクリック
• Step4. HBAC付与の際に実施したこと 21 2. ハンズオン ①[Host Groups] を選択 ②[Add]をクリック
③必須項⽬⼊⼒後 [Add]をクリック
2. ハンズオン • Step4. HBAC付与の際に実施したこと 22 ①[Policy]を選択 ②[HBAC Rules]となっていることを確認 ②[Add]をクリック
③必須項⽬⼊⼒後 [Add]をクリック
2. ハンズオン • Step4. HBAC付与の際に実施したこと 23 ・どのユーザーに対する設定? ・どのホストに対する設定? ・どんなサービスを設定する?
2. ハンズオン • Step4. WebUIによるグループ管理とホストベースアクセス管理(HBAC) 24 これからある設置をしたHBACを有効にします。 有効にした後、各ユーザーから管理対象機器にログインできるか確認し、 以下の表を完成させてください。(アクセス可:◦、アクセス不可:✗) rd03rcli1
rd03rcli2 rd03rcli3 rd03ucli4 rd03wcli1 user01 ◦ ✗ ✗ ✗ ✗ user02 ✗ ✗ ◦ ✗ ✗ user03 ✗ ◦ ✗ ◦ ✗ user04 ◦ ✗ ◦ ✗ ✗ Quiz 答
2. ハンズオン • Quiz結果検証 25 25 user02 User01でホスト01にアクセスできること ホスト02,03にアクセスできないことを確認 user03
User02でホスト02にアクセスできること ホスト01,03にアクセスできないことを確認 user04 User03でホスト03にアクセスできること ホスト01,02にアクセスできないことを確認
1. OpenLDAPについて RHEL では⾮推奨 代替としてこれからは Identity Management(Idm) 2. Linux でもユーザーやホストを⼀元管理することを体験できた︕
作成したユーザーでSSOを体験することができた︕ HBAC を体験することができた︕ 本⽇の振り返り 26
1. Red Hat エンジニアの「開発者のためのセキュリティ実践講座」 Linuxの認証を簡単にする「FreeIPA」とは 2. Red Hat 社システムアーキテクトによる「FreeIPAの紹介」 https://www.slideshare.net/moriwaka/freeipa20171129
3. FreeIPA Webサイト https://www.freeipa.org/page/Documentation 参考リンク 27
Appendix 以下については、 Qiitaに記載いたしましたのでご参照ください。 FreeIPA で IBM Cloud 上に LDAP 認証基盤を構築
• RHEL8 IPA Server インストール&設定 • RHEL8 IPA Client インストール&設定 • Ubuntu18 IPA Client インストール&設定 28
次回12/14(⽉)に 「 Red Hat Dojo #4 : Red Hat Insights
を使って IBM Cloud 上の RHEL8 を覗いてみよう︕」 を予定しております。 予告 29
Sli.doによるライブ投票にご協⼒をお願い致します。 30
IBM Developer Dojoは開発者の⽅を対象に、IBM Cloudを主とした技術情報をお伝えする⽬的で開催して います。講師や運営スタッフにより、開催毎に最適と判断した内容でお届けしています。 現在、ハンズオンを伴う講義はお客様の費⽤負担がない環境と⼿順でご案内しています。講義終了後、不要 になりました制作物はお客様ご⾃⾝で削除をお願いいたします。クレジットカードの登録が伴わない場合、 費⽤は⼀切発⽣致しませんが、ご登録いただいたお客様はご注意ください。 講師陣はみなさまの利⽤状況を個別に確認することはできません。 ご理解とご協⼒をお願いいたします。
利⽤したサービスの削除⽅法については講義の中でご案内します。 ご不明な点がございましたら、当⽇確認をお願いいたします。 講義終了後、 IBM Developer Dojoに関するお問い合わせは「Slack」にお願いします。それ以外のIBM Cloudのお問い合わせにつきましては、弊社サポートセンターまで、次のいづれかの⽅法でお問い合わせく ださい。 IBM Cloudダッシュボードの「サポート」メニューから「Case」を作成し、英語でご記⼊ください IBM Cloudサポートセンター「相談する」ボタンからチャットまたは電話でご連絡ください https://www.ibm.com/jp-ja/cloud/support ご参加ありがとうございました。 免責事項 31
EOF 32