none
特権アクセス管理 (PAM)とドメイン機能レベルについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    表題の件について、確認させていただきたいと思います。

    WindowsServer2008から、WindowsServer2016への更改にあたり、特権アクセス管理 (PAM)の導入検討を進めています。

    特権アクセス管理 (PAM)を調べたところドメイン機能レベルについてWindowsServer2012R2でも実行可能と記載がありました。

    しかしながら、特権アクセス管理 (PAM)の紹介サイトでは、WindowsServer2012R2での成約事項等の紹介がない状態です。

    本件ですが、ドメインにLinuxサーバを導入する関係で、SSSDの動作要件上、WindowsServer2012R2でしか動かせず、この時の特権アクセス管理 (PAM)のことを知りたいと思います。

    ご教示いただけますか。

    よろしくお願いいたします。

    2018年8月15日 5:30
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    PAMをWindows Server 2012 R2ベースで行う方法ですが、PAMに必要な「Temporary Group Membership」(時限的にユーザーが所属するグループに管理者グループを追加する機能)に関して、MIMでこれを代用するしくみが実装できたらうまくいく、という建付けと理解しています。

    詳細に関しては、MSMVPの富士榮さんが、ご自身のサイトで紹介されてますので、確認してはどうでしょうか?

    https://idmlab.eidentity.jp/2015/07/mimactice-directory.html

    あと蛇足ですが、LinuxのSSSDに「ドメイン機能レベルがWindows Server 2012 R2」という制約がある、ことは初めて知りました。どこの情報でしょうか?昔CentOS7+Windows Server 2016で評価したことがありましたが、特に問題はなかったと記憶しています。(SSSD+realmdの組み合わせです)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク yokomasa1903 2018年8月22日 6:59
    2018年8月15日 6:52
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    PAMをWindows Server 2012 R2ベースで行う方法ですが、PAMに必要な「Temporary Group Membership」(時限的にユーザーが所属するグループに管理者グループを追加する機能)に関して、MIMでこれを代用するしくみが実装できたらうまくいく、という建付けと理解しています。

    詳細に関しては、MSMVPの富士榮さんが、ご自身のサイトで紹介されてますので、確認してはどうでしょうか?

    https://idmlab.eidentity.jp/2015/07/mimactice-directory.html

    あと蛇足ですが、LinuxのSSSDに「ドメイン機能レベルがWindows Server 2012 R2」という制約がある、ことは初めて知りました。どこの情報でしょうか?昔CentOS7+Windows Server 2016で評価したことがありましたが、特に問題はなかったと記憶しています。(SSSD+realmdの組み合わせです)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク yokomasa1903 2018年8月22日 6:59
    2018年8月15日 6:52
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャプーン様

    お世話になっております。

    回答ありがとうございました。

    蛇足の部分ですが、参考までにお知らせいたします。

    Red Hat Enterprise Linux7
    Windows 統合ガイド
    https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/windows_integration_guide/
    p57
    5.2. フォレスト間の信頼作成
    5.2.1. 環境およびマシン要件
    5.2.1.1. サポートされる Windows プラットフォーム
        信頼関係は以下の Active Directory 機能レベルで確立することができます。
        フォレスト機能レベルの範囲: Windows Server 2008 - Windows Server 2012 R2
        ドメイン機能レベルの範囲: Windows Server 2008 - Windows Server 2012 R2
    以下のオペレーティングシステムは、上記の機能レベルを用いた信頼確立において明示的にサポート、テス
    トされています。
        Windows Server 2012 R2
        Windows Server 2016

    となります。

    2018年8月15日 7:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    なるほど。SSSDにIdM Domainを構成して、使用したいということですか。であるなら、残念ながらIdM Domain間のフォレスト認証はやったことはないですね。

    ところでこれ、実態として運用フォレスト側に「IdM Domainとしての」Linuxサーバーを構成する、ことが必須条件なのですか?であれば、要件的にムリかもしれません。PAMではシャドウセキュリティプリンシパルの構成が必要ですが、(運用側の)セキュリティプリンシパルとシャドウセキュリティプリンシパルを連携するのは「sIDHistory」属性であり、この連携のため、フォレスト間認証が必要になるわけです。

    IdM Domain側のLDAPの仕様上、sIDHistoryがなかったり、フォレスト間認証での「SIDフィルター機能のOFF(sIDHistoryによる両フォレスト間のユーザー認証を可能にする)」ができないと、結果論として連携に失敗するため、実現できないと思います。Windows間のイメージとしては、以下の資料を読んでおくといいと思います。

    http://www.atmarkit.co.jp/ait/articles/1607/28/news027_2.html

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年8月15日 8:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    お世話になっております。

    運用フォレスト側に「IdM Domainとしての」Linuxサーバーを構成することが必須条件ではありません。

    図の書き方が悪いように見えておりますが、MIM構築にしても「IdM Domainとしての」WindowsServer2016サーバーを構成することを検討しています。

    このため、チャブーン様よりコメントいただいた内容になるかと思いますが、認証の部分にあたりますので、要検討課題となるかと思います。

    よろしくお願いいたします。

    2018年8月16日 0:25
    |