A Red Hat identity management megoldása a Red Hat Enterprise Linux részét képező komplex azonosság-kezelési megoldás vállalati környezetek igényeinek kiszolgálására. A Red Hat IdM Server, vagyis a Red Hat Enterprise IPA (Identification, Auditing, Policy) egységes keretrendszert biztosít a széles körben elterjet és kedvelt önálló IDM technológiák és termékek számára, ezáltal teremtve meg egy integrált, a vállalati igényekre, problémákra megfelelő választ biztosító azonosságkezelési megoldást.
Az IdM Server alapvető és meghatározó funkciója az azonosság-kezelés és az authentikációs szolgáltatások biztosítása, ezen kívül domain controller szolgáltatást biztosít az integrált Kerberos server által. A megoldás része az LDAP backend, ami a domain, a felhasználói, a kliens és egyéb konfigurációk tárolását szolgáltatja.
A központi azonosság-kezelési és auhentikációs szolgáltatásokon túl az IdM szerver számos egyéb, a vállalati környezetek esetén meghatározó idm szolgáltatást tesz hozzáférhetővé, menedzselhetővé. Ilyen szolgáltatás a DNS, az NTP vagy éppen a digitális tanusítványok, aláírások kezelésére szolgáló CA komponens. Mindezen szolgáltatásokat, komponenseket az IdM szerver egységes menedzsment interfészen keresztül, webes és parancssori hozzáférési lehetőségeken át biztosítja.
Az IdM szerver által kezelt legfontosabb szolgáltatások, komponensek:
Authentikáció – Kerberos KDC
A Kerberos authentikációs protokoll használata széles körben elterjedt vállalati szinten, hiszen biztonságosabb, mint a hagyományos jelszó alapú authentikáció. Az IdM Server esetén a Kerberos adminisztrációs szerver funkciókat az IdM domain controller valósítja meg, a Kerberos adatok tárolásáról pedig a háttérben működő Directory Server gondoskodik. A Directory Server példány feladata ezen túlmenően a Kerberos adatokhoz történő hozzáférés meghatározása és kikényszerítése.
Adattárolás – 389 Directory Server
Az IdM Server a legkülönbözőbb identity adatok tárolására (Kerberos információk, felhasználói accountok, csoportok, szolgáltatások, házirendek, DNS zóna és hoszt adatok stb.) egy belső LDAP címtárat, a 389 Directory Servert használja. A Directory Server lehetővé teszi a redundáns működést, többek között támogatja a multi-master replikációt, így a teljes IdM Server működése szempontjából is magas rendelkezésre állású környezet hozható létre segítségével.
Tanúsítványkezelés – Dogtag Certificate System
A digitális tanusítványok használata egyre elterjedtebb lesz a vállalati környezetek esetén, legyen szó tanusítvány alapú authentikációról, digitális aláírás használatáról vagy éppen különféle titkosítások implementálásáról. A digitális tanusítványok biztonságos életciklus menedzsmentjét és tárolását jellemzően az úgynevezett CA (Certificate Authority) rendszerek valósítják meg, ezek gondoskodnak a tanusítványok kiállításáról, azok tárolásáról, elérhetővé tételéről vagy éppen visszavonásáról. Az IdM Server ilyen CA elemként a Dogtag Certificate Server szoftverkomponenst használja és integrálja a megoldás többi elemével, biztosít hozzá konfigurációs és menedzsment interfészeket. Az IdM Server-ben megvalósított CA funkcionalitás számos módon képes illeszkedni vállalati környezetekhez, konfigurálható önálló (root) CA-ként, de akár működhet egy meglévő root CA mellett ún. subordinate CA-ként egyaránt.
Szerver és kliens felderítés – DNS
Az IdM környezetek működését, a szerverek és hosztok elérését, egymáshoz rendelését, azok adminisztrálását számos módon, számos protokollon keresztül lehet megvalósítani, azonban vállalati környezetekben erre a célra a legalkalmasabb talán a DNS technológia kiterjesztése, alkalmazása. A Red Hat IdM Server ezen komplex feladat megvalósítására a DNS szervert használja, segítségével válik lehetővé a kliensek bejegyzése az IdM doménbe vagy éppen a különféle azonossági szolgáltatások felderítése és regisztrációja. A használt DNS technológiának nagy szerepe van az automatizált kliens telepítési folyamat támogatásában is, ahol a helyben, a klienseken futó SSSD (System Security Services Daemon) használatával a DNS-en keresztül férhetnek hozzá a kliens komponensek az LDAP/TCP és Kerberos/UDP alapú szolgáltatásokhoz.
Menedzsment – SSSD
Az előzőekben említett System Security Services Daemon (SSSD) egy helyben futó platform alkalmazás, amely többek között az authentikációs információk gyorsítótárazását is megvalósítja. Ennek többek között az is az egyik célja, hogy az olyan alkalmazások számára, amelyek alapvetően helyben keresnék a hitelesítéshez szükséges adatokat a működéshez szükséges hátteret (helyi cache-t) biztosítson, amit az SSSD a háttérben egy távoli azonosság szolgáltatóval együttműködve szinkronizál. Az SSSD számos információ, mint pl. felhasználónév, jelszó, Kerderos principal-ok és keytab-ok, automount map-ek, sudo szabályok stb. gyorsítótárazását képes elvégezni, ezáltal tehermentesítve az IdM környezetek adminisztrátorait, akik így teljes mértékben központosíthatják az IdM rendszer konfigurálását.
Menedzsment – NTP
A legtöbb vállalati környezet működése szükségessé teszi a szervereken és klienseken futó azonos rendszeridő egységes kezelését, beállítását, az authentikációra használt Kerberos a működésének alapját jelentő ticket-ek érvényességének ellenőrzése során is vizsgálja ezt. A rendszeridők szinkronizálása így kritikus és elengedhetetlen, amire az NTP protokollt használjuk. A Red Hat IdM Server ezen igények kielégítésére olyan NTP szerver implementációt tartalmaz, amely képes akár hiteles időszolgáltatóként is működni a teljes vállalati infrastruktúra számára és a referencia időszolgáltatóval folyamatosan szinkronizálni a rendszeridőt.