第3章 認証および相互運用性
SSSD スマートカードのサポート
SSSDは、ローカル認証用のスマートカードをサポートするようになりました。この機能を使用すると、ユーザーはスマートカードを使用して、テキストベースまたはグラフィカルコンソールを使用してシステムにログオンすることができます。
sudo
サービス。ユーザーはスマートカードをリーダーに置き、ログインプロンプトでユーザー名とスマートカードのPINを入力します。スマートカードの証明書が検証されると、ユーザーは正常に認証されます。
現在、SSSDでは、ユーザーがスマートカードを使用してKerberosチケットを取得することはできません。 Kerberosチケットを取得するには、ユーザーは引き続き
kinit
ユーティリティ。
Red Hat Enterprise Linux 6でスマートカードのサポートを有効にするには、SSSDがパスワード、ワンタイムパスワード(OTP)、またはスマートカードのPINを入力するように要求する必要があります。
auth
の行 /etc/pam.d/password-auth
そして /etc/pam.d/system-auth
PAM構成ファイル。詳細については、「Identity Management Guide」を参照してください。http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards(BZ#1270027)
SSSD のキャッシュ認証
"" SSSDでは、オンラインモードであっても、再接続を試みないキャッシュに対する認証が利用できるようになりました。繰り返しネットワークサーバーに対して直接認証すると、アプリケーションの待ち時間が過度に長くなり、ログイン処理に時間がかかりすぎる可能性があります。 (BZ#1237142)
IdM サーバー互換性プラグインツリーの ou=sudoers,$DC の無効化によるパフォーマンス改善
Identity Management (IdM) クライアントでは、
slapi-nis
ディレクトリーサーバープラグインが生成する ou=sudoers,$DC
互換性ツリーではなく、IdM サーバー LDAP ツリーの cn=sudorules,cn=sudo,$DC
にある sudo
ルールをルックアップできるようになりました。
レガシークライアントのサポートなど、他の操作に互換性ツリーが必要ない環境では、ユーザーは
ou=sudoers,$DC
木の一部。これにより、パフォーマンスを向上させることができます。これは、 slapi-nis
特に多数の認証操作が行われる環境では、リソースを大量に消費します。 (BZ#1244957)
SSSD でクライアントごとの UID と GID のマッピングが可能に
sss_override
ユーティリティーが提供する SSSD を使ったクライアント側の設定により、特定の Red Hat Enterprise Linux クライアント上のユーザーを異なる UID と GID にマッピングできるようになりました。クライアント側から上書きができるため、UID と GID の重複によって起きる問題を解決したり、異なる ID マッピングを使用していたレガシーシステムからの移行が容易になります。
"" オーバーライドはSSSDキャッシュに格納されることに注意してください。キャッシュを削除すると、上書きも削除されます。この機能の詳細については、sss_override(8)のマニュアルページを参照してください。 (BZ#1269422)
initgroups
の動作のキャッシング
SSSD高速メモリキャッシュは、
initgroups
操作の速度を向上させる initgroups
GlusterFSなどの一部のアプリケーションの処理を改善し、パフォーマンスを向上させます。 slapi-nis
。 (BZ#1269421)
新パッケージ: adcli
今回のアップデートでは adcli パッケージを Red Hat Enterprise Linux 6 に追加しています。
adcli
ユーティリティーを使うと、Red Hat Enterprise Linux 6 から Active Directory (AD) 内のホスト、ユーザー、およびグループオブジェクトを管理できます。このユーティリティーは主に、ホストを AD ドメインに参加させたり、そのホストの認証情報の更新に使用されます。
ザ
adcli
ユーティリティはサイトを認識し、ADドメインに参加するために追加の設定を必要としません。 SSSDサービスを実行するクライアントでは、 adcli
定期的にホスト資格情報を更新することができます。 (BZ#1279725)
AD に参加した Linux クライアントのホスト認証情報を SSSD が自動更新
特定の Windows ユーティリティーは、ホストのパスワードが長期間更新されないと、ホストを Active Directory (AD) から削除することができます。これは、これらのユーティリティーがこのようなクライアントをアクティブでないとみなすからです。
この機能により、ADに参加しているLinuxクライアントのホストパスワードが定期的に更新され、クライアントがまだ積極的に使用されていることが示されます。その結果、説明された状況では、ADに参加しているRed Hat Enterprise Linuxクライアントは削除されません。 (BZ#1290761)
SSSD が大量の RID 環境における AD クライアントの ID 範囲を自動調節
SSSD サービスに含まれる自動 ID マッピングメカニズムが ID 範囲ドメインをマージできるようになりました。これまでは、Active Directory (AD) ドメインの相対 ID (RID) が、SSSDが割り当てる ID 範囲のデフォルトサイズである 200,000 を超えると、管理者は SSSDが割り当てる ID 範囲を手動で RID に対応させる必要がありました。
"" この機能強化により、IDマッピングが有効なADクライアントの場合、SSSDは説明された状況でID範囲を自動的に調整します。その結果、管理者はID範囲を手動で調整する必要がなくなり、デフォルトのSSSD IDマッピングメカニズムは大規模なAD環境でも機能します。 (BZ#1268902)
SSSD が異なるドメインコントローラーからの GPO に対応
システムセキュリティサービスデーモン(SSSD)サービスは、異なるドメインコントローラからのグループポリシーオブジェクト(GPO)をサポートするように更新されました。 (BZ#1221365)
"" SSLv2のサポートが無効になっています
SSLv2は安全ではないため、現在の展開では使用しないでください。したがって、無効にして無効にすることはできません。現代のブラウザーとフレームワークはすべてデフォルト構成でSSLv2接続をネゴシエートできず、多くはSSLv2ネゴシエーションを実行するように構成できません。最近のOpenSSLの脆弱性(CVE-2015-3197)は、このコードを守ることは責任があることを示しています。さらに、上流でSSLv2(MZBZ#1228555)のサポートが既に削除されています。 (BZ#1304812)
"" OpenLDAPはTLSv1.2をサポートするようになりました
OpenLDAPのTLSレイヤーが暗号文字列値をサポートするように拡張されました
TLSv1.2
TLSv1.2スイートの新しい暗号と一緒に。さらに、新しい暗号文字列 AESGCM
, 、SHA256
, 、および SHA384
が追加されました。このアップデートでは、暗号文字列 DEFAULT
現在のセキュリティ開発で最新の状態になるようにNetwork Security Services(NSS)のデフォルトのサブセットを選択します。暗号文字列 DEFAULT
現在除外 AESGCM
SSF(Security Strength Factor)機能を破らないようにするために使用します。 (BZ#1300701)
nss ECDSA証明書をサポートするようになりました
"" デフォルトでは、NSSライブラリは楕円曲線暗号(ECC)を使用するTLS暗号スイートを有効にしませんでした。 NSSのデフォルト構成を変更しなかったアプリケーションは、ECDHEなどのECCキー交換のサポートを要求するサーバーに接続できませんでした。特に、ECDSAキーで証明書を使用するサーバーへの接続に失敗しました。
このアップデートでは、デフォルト設定が変更され、デフォルトでECCを使用できるTLS暗号スイートが有効になります。その結果、TLS経由の通信にNSSデフォルトを使用するアプリケーションは、ECDSAキーを使用して証明書を使用するサーバーに接続できるようになりました。 (BZ#1059682)
"" グループ名の新しいSSSDデフォルト値
システムセキュリティサービスデーモン(SSSD)は、Windowsおよびサードパーティのソリューションと互換性のある新しいデフォルトグループ名を使用するようになりました。これは、
id_provider
設定オプションをに設定 ad
の中に /etc/sssd/sssd.conf
ファイル。
環境で、新しいデフォルト値であるgroup name属性とは異なる値が必要な場合
sAMAccountName
, 手動で構成を変更する必要があります。たとえば、ユーザーと同じ名前のグループを提供する場合には、これが必要な場合があります。古い動作に戻すには、 cn
属性値として:
1.セット
ldap_group_name = cn
の中に /etc/sssd/sssd.conf
ファイル。
"" 2.次のコマンドを実行して、SSSDキャッシュをクリアします。
"" #service sssd stop#find / var / lib / sss /!タイプd | xargs rm -f#service sssd start
"" (BZ#1342458)