第5章 認証および相互運用性

SSH キーの中央管理のサポート

以前は、ホストとユーザーの SSH 公開鍵を一元管理できませんでした。Red Hat Enterprise Linux 6.3 には、テクノロジープレビューとして Identity Management サーバーの SSH 公開鍵管理が含まれています。Identity Management クライアントの OpenSSH は、Identity Management サーバーに保存されている公開鍵を使用するように自動的に設定されます。SSH ホストとユーザーの ID を Identity Management で集中的に管理できるようになりました。

SELinux ユーザーマッピング

Red Hat Enterprise Linux 6.3 では、リモートシステム上のユーザーの SELinux コンテキストを制御する機能が導入されています。SELinux ユーザーマップルールは、定義でき、オプションで HBAC ルールに関連付けることができます。これらのマップは、ログインしているホストとグループメンバーシップに応じて、ユーザーが受信するコンテキストを定義します。ユーザーが Identity Management バックエンドで SSSD を使用するように設定されたリモートホストにログインすると、そのユーザーに定義したマッピングルールに従ってユーザーの SELinux コンテキストが自動的に設定されます。詳細は、http://freeipa.org/page/SELinux_user_mapping を参照してください。この機能は、テクノロジープレビュー と見なされます。

sshd に必要とされる認証方式が複数になる

SSH は、複数の認証方法を必要とするように設定できるようになりました（以前は SSH では、ログインを成功させるために必要な複数の認証方法が許可されていました）。たとえば、SSH 対応のマシンにログインするには、パスフレーズと公開鍵の両方を入力する 必要 があります。RequiredAuthentications1 および RequiredAuthentications2 オプションは、/etc/ssh/sshd_config ファイルで設定し、ログインを成功するのに必要な認証を指定できます。以下に例を示します。

自動マウントマップキャッシュの SSSD サポート

Red Hat Enterprise Linux 6.3 では、SSSD には、自動マウントマップのキャッシュサポートという新しいテクノロジープレビュー機能が追加されました。この機能は、autofs で動作する環境にはいくつかの利点があります。

SSSD debug_level 動作の変更

SSSD が、/etc/sssd/sssd.conf ファイルの debug_level オプションの動作を変更しました。以前は、[sssd] 設定セクションに debug_level オプションを設定できました。その結果、明示的に上書きしない限り、他の設定セクションのデフォルト設定になりました。

新しい ldap_chpass_update_last_change オプション

新しいオプション ldap_chpass_update_last_change が SSSD 設定に追加されました。このオプションを有効にすると、SSSD は shadowLastChange LDAP 属性を現在の時刻に変更しようとします。これは、LDAP パスワードポリシーが使用されている場合（通常は LDAP サーバーが処理）にのみ関連することに注意してください。つまり、LDAP 拡張操作は、パスワードを変更するために使用されます。また、この属性は、パスワードを変更しているユーザーが書き込み可能である必要があることに注意してください。