Red Hat Summit3.14. Identity Management
IdM ID 範囲の不一致を管理するための新しいツール
この更新により、Identity Management (IdM) が ipa-idrange-fix ツールを提供します。ipa-idrange-fix ツールを使用して、既存の IdM ID 範囲を分析し、これらの範囲外のユーザーとグループを識別して、それらを含める新しい ipa-local 範囲の作成を提案できます。
ipa-idrange-fix ツールは次の処理を実行します。
- LDAP から既存の範囲を読み取って分析します。
-
ipa-local範囲外のユーザーとグループを検索します。 -
特定されたユーザーとグループをカバーするために、新しい
ipa-local範囲を提案します。 - 提案された変更を適用するようユーザーに促します。
このツールは、システムアカウントとの競合を防ぐために、1000 未満の ID をデフォルトで除外します。Red Hat では、提案された変更を適用する前に、完全なシステムバックアップを作成することを強く推奨します。
詳細は、ipa-idrange-fix(1) man ページを参照してください。
Kerberos が Elliptic Curve Diffie-Hellman 鍵合意アルゴリズムをサポートするようになる
RFC5349 で定義されている PKINIT の Elliptic Curve Diffie-Hellman (ECDH) 鍵合意アルゴリズムがサポートされるようになりました。この更新により、krb5.conf ファイルの pkinit_dh_min_bits 設定で、デフォルトで ECDH を使用するように P-256、P-384、または P-521 を指定できるようになりました。
ansible-freeipa が 1.14.5 にリベース
ansible-freeipa パッケージが、バージョン 1.13.2 から 1.14.5 にリベースされました。以下は、主な機能拡張およびバグ修正です。
module_defaultsを使用して、複数のansible-freeipaタスクの変数を定義できます。freeipa.ansible_freeipaコレクションは、ansible-freeipaモジュールの使用を簡素化するmodule_defaultsアクショングループを提供するようになりました。module_defaultsを使用すると、Playbook で使用されるコレクションのすべてのモジュールに適用するデフォルト値を設定できます。これを行うには、freeipa.ansible_freeipa.modulesという名前のaction_groupを使用します。以下に例を示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow その結果、Playbook はより簡潔になります。
複数の IdM
sudoルールを単一の Ansible タスクで管理できるようになりましたこの機能拡張により、
ansible-freeipaにsudorulesオプションが追加されます。sudorulesを使用すると、単一の Ansible タスクを使用して複数の Identity Management (IdM)sudoルールを追加、変更、および削除できます。これを行うには、ipasudoruleモジュールのsudorulesオプションを使用します。その結果、sudoルールをより簡単に定義し、より効率的に実行できるようになります。sudorulesオプションを使用すると、特定のsudoルールに適用される複数のsudoルールパラメーターを指定できます。このsudoルールはname変数によって定義されます。これは、sudorulesオプションの唯一の必須変数です。ipagroupモジュールを使用した外部メンバーの削除が正しく動作するようになりました。以前は、
externalmemberパラメーターを指定したansible-freeipaipagroupモジュールを使用して、IdM グループに外部メンバーが存在しないことを確認しようとした場合、Ansible がタスクの結果をchangedとして表示したにもかかわらず、グループからメンバーが削除されませんでした。この修正により、externalmemberをipagroupと併用すると、IdM グループに外部メンバーが確実に存在しなくなります。また、この修正により、AD ユーザーを識別するために DOM\name または name@domain のいずれかを使用することもできます。
389-ds-base がバージョン 2.6.1 にリベース
389-ds-base パッケージがバージョン 2.6.1 にリベースされました。バージョン 2.5.2 への主なバグ修正および機能拡張は、以下のとおりです。
- エラーログのログバッファリング
- 監査ログを JSON 形式で書き込むオプション
- グループが更新されたときにグループメンバーの更新を延期するオプション
- PBKDF2 のイテレーション回数を設定するオプション
-
logconv.pyログアナライザーツール
openldap がバージョン 2.6.8 にリベース
openldap パッケージがバージョン 2.6.8 に更新されました。この更新には、次のようなさまざまな機能拡張とバグ修正が含まれています。
- TLS 接続の処理が改善されました。
-
Active Directory 証明書が Elliptic Curve Cryptography (ECC) 証明書であり、
SASL_CBINDINGがtls-endpointに設定されている場合でも、KerberosSASLはSTARTTLSで動作します。
Directory Server で新しい memberOfDeferredUpdate: on/off 設定属性が利用できるようになる
この更新により、Directory Server は MemberOf plug-in の新しい memberOfDeferredUpdate 設定属性を導入します。on に設定すると、MemberOf plug-in はグループメンバーの更新を遅延させるため、特にグループの変更が多数のメンバーに影響する場合に、サーバーの応答性が向上します。
詳細は、Red Hat Directory Server 12 の「設定およびスキーマリファレンス」ドキュメントの memberOfDeferredUpdate を参照してください。
Directory Server が、エラー、監査、監査失敗のログのバッファリングを提供するようになる
この更新前は、アクセスログとセキュリティーログにのみログバッファリングがありました。この更新により、Directory Server はエラー、監査、監査失敗のログのバッファリングを提供するようになりました。ログバッファリングを設定するには、次の設定を使用します。
-
エラーログの
nsslapd-errorlog-logbuffering。デフォルトでは無効になっています。 -
監査および監査失敗ログ用の
nsslapd-auditlog-logbuffering。デフォルトでは有効です。
詳細は、Red Hat Directory Server の「設定およびスキーマリファレンス」ドキュメントの nsslapd-errorlog-logbuffering および nsslapd-auditlog-logbuffering を参照してください。
Directory Server が、バインドが成功した後、CRYPT または CLEAR ハッシュアルゴリズムでパスワードを更新できるようになる
この更新前は、Directory Server に、バインド成功時のパスワード更新から除外されるハッシュ化アルゴリズムのリストがハードコードされていました。Directory Server は、passwordStorageScheme 属性で設定された CRYPT または CLEAR ハッシュアルゴリズムを持つユーザーパスワードを更新しませんでした。
この更新により、nsslapd-scheme-list-no-upgrade-hash 設定属性を使用して、パスワード更新から除外する必要のあるハッシュアルゴリズムのリストを設定できるようになりました。デフォルトでは、nsslapd-scheme-list-no-upgrade-hash には後方互換性のための CRYPT および CLEAR が含まれます。
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書と鍵の扱い方が異なりますが、ほとんどのユーザーにとってこの違いはシームレスです。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-17465[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}