読者です 読者をやめる 読者になる 読者になる

FreeIPAのクロスドメイン認証

FreeIPAでは各ユーザーのuidをldapで提供するが、FreeIPAを稼働させている複数の企業が相互に認証(ファイルサーバーなどにアクセスできるようにする)しようとすると、ほぼ確実にuidが重複する。

対応としては、お互いのuidが重複しないように、
企業番号001, ユーザーID:0000311 なら
0010000311
などとuidを振っておくのが順当だと思うが、既存のファイルサーバーでは既に既存のUIDでファイルが作成されてしまっているため、簡単に変更することはできない。。

ActiveDirectoryでは、Windows SIDを使ってこの件に対応していたが、FreeIPA側ではどのように解決できるだろうか。

1つの方法は、Private IP, Global IPのNATの類似(2つの企業は両方がプライベートIPを使っていても、NATを介して接続し合える)で、外向けのLDAPサーバーと内向けのLDAPサーバーを使い分け、内向けでは、既存のUID, 外向けでは企業番号を含めたUIDを置くことだろう。
(企業内のファイルサーバーでは、内向けのLDAPサーバー+他企業の外向けLDAPサーバーで認証を行う。企業外のファイルサーバーではその逆。)