第5章 認証と相互運用性
これまでは、ホストとユーザーの SSH パブリックキーを中央で管理することは無理でした。Red Hat Enterprise Linux 6.3 には、技術プレビューとして識別管理サーバーの為の SSH パブリックキー管理が含まれています。そのため、識別管理クライアント上の OpenSSH は識別管理サーバー上に格納されているパブリックキーを使用するように自動的に設定されます。SSH ホストとユーザーの識別は今回、識別管理に於いて中央で管理できるようになっています。BZ#803822n
Red Hat Enterprise Linux 6.3 では、リモートシステム上でのユーザーの SELinux コンテキストを制御する能力を導入しています。SELinux のユーザーマップルールは定義付けが可能であり、オプションとして HBAC ルールとの関連付けができます。これらのマップは、ログインするホストとグループメンバーシップに応じてユーザーが受信するコンテキストを定義します。識別管理バックエンドと一緒に SSSD を使用するように設定されているリモートホストにユーザーがログインする際には、ユーザーの SELinux コンテキストはそのユーザー用に定義されたマッピングルールに応じて自動的にセットされます。詳細情報については、http://freeipa.org/page/SELinux_user_mapping を参照して下さい。この機能は技術プレビューと見なされています。BZ#803821
今回、SSH は認証について複数の方法を要求するように設定できます (以前は、SSH が認証で複数の方法を許可しても、その1つのみが正しいログインに必要でした)。例えば、SSH を設定したマシンへのログインにはパスフレーズとパブリックキーの両方の入力が必要になります。RequiredAuthentications1
オプションと RequiredAuthentications2
オプションを /etc/ssh/sshd_config
ファイル内で設定して正しいログインに必要となる認証を決定することができます。例えば、次のようにします:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
Red Hat Enterprise Linux 6.3 では、SSSD は、自動マウントマップのキャッシングに対するサポートと言う技術プレビュー機能を持っています。この機能により、autofs
で運用する環境にいくつかの利便性をもたらします:
- キャッシュ化した自動マウントマップにより、クライアントマシンは LDAP サーバーに到達できない時でさえもマウント操作を簡単に実行できるようになります。
autofs
デーモンが SSSD を介して自動マウントマップをルックアップするように設定されている時には、単独のファイル:/etc/sssd/sssd.conf
のみを設定するだけで充分です。以前は、autofs データを取り込むように/etc/sysconfig/autofs
を設定する必要がありました。- 自動マウントマップをキャッシュ化すると、クライアントではパフォーマンスの速度が向上し、LDAP サーバーではトラフィックが低減します。BZ#761570
SSSD は、/etc/sssd/sssd.conf
ファイル内での debug_level
オプションの動作に変化を与えています。以前は、[sssd]
設定セクションで debug_level
オプションをセットすることができて、他の設定セクションが明示的に上書きしない限りはこれが他の設定セクションのデフォルトのセッティングになると言う結果になっていました。
[sssd]
セクションからデフォルトを取得する代わりに、内部デバグロギング機能へのいくつかの変更によって、debug_level
オプションは常に設定ファイルの各セクションで独立して指定することが必要になりました。
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
debug_level
オプションが [sssd]
セクションで指定されたかどうかの確認チェックをします。指定されていると、debug_level
が指定されていない sssd.conf
ファイル内の他の各セクションに同じレベルの値を追加します。別のセクションに debug_level
オプションが既に明示的に存在する場合は、変更は起こりません。
ldap_chpass_update_last_change
と言う新しいオプションが SSSD 設定に追加されています。このオプションが有効になっている場合、SSSD は shadowLastChange
LDAP 属性を現在の時刻に変更する試みをします。これは、LDAP パスワードポリシーが使用された時のケース、即ちパスワードを変更するために LDAP 拡張操作が使用されるケースにのみ関連していることに注意して下さい (通常は LDAP サーバーが処理)。また、この属性はパスワードを変更しているユーザーによって書き込まれる必要があることにも注意して下さい。BZ#739312