第5章 認証と相互運用性
SSSD の完全対応となる機能
Red Hat Enterprise Linux 6.3 で採用された機能のいくつかが Red Hat Enterprise Linux 6.4 では完全対応するようになります。 特に以下のような機能に完全対応します。
- 複数の SSH キーの集中管理に対応
- SELinux のユーザーマッピング
- 自動マウントのマップキャッシングに対応
SSSD の新しいキャッシュストレージタイプ
Kerberos バージョン 1.10 で新しいキャッシュストレージタイプ「
DIR:
」が追加されました。 Kerberos を認識するりソースとネゴシエートを行なう際、 Kerberos は複数のキー配布センター (KDC) のチケット交付チケット (TGT) の並列管理、およびキー配布センター間での自動選択を行なうことができるようになります。 Red Hat Enterprise Linux 6.4 では、 SSSD でログインするユーザーに DIR:
キャッシュが選択できるよう SSSD の機能を強化しています。 この機能はテクノロジープレビューとして採用されています。
Active Directory ベースの信頼できるドメインを external
グループに追加する
Red Hat Enterprise Linux 6.4 では、
ipa group-add-member
コマンドを使用することで Active Directory ベースの信頼できるドメインのメンバーを Identity Management 内の external
のマークが付いたグループに追加することができるようになります。メンバーの指定は、 AD\UserName
、 AD\GroupName
、 User@AD.Domain
などのようにドメイン構文や UPN ベースの構文を使用して行ないます。 この形式で指定すると、 セキュリティ識別子 (SID) 値を取得するためメンバーの解決が Active Directory ベースの信頼できるドメインのグローバルカタログに対して行なわれます。
代わりに SID 値を直接指定することもできます。 この場合、
ipa group-add-member
コマンドが検証するのは SID 値のドメインの部分が信頼できる Active Directory ドメインの一つであるかのみです。 ドメイン内の SID の有効性についての検証は行なわれません。
外部メンバーの指定を行なう際は SID 値を直接与えるのではなく、 ユーザー名かグループ名の構文を使用することを推奨します。
Identity Management サブシステム証明書の自動更新
新しい認証局のデフォルトの有効期間は 10 年です。 認証局によりそのサブシステムの証明書が発行されます (OCSP、 監査ログ、その他)。 サブシステムの証明書は通常、 2 年間有効です。 証明書の期限が切れると認証局が正しく起動しない、 または正常に機能しなくなります。 したがって、 Red Hat Enterprise Linux 6.4 では Identity Management サーバーが自動的にこのサブシステム証明書を更新できる機能を備えています。 サブシステムの証明書は certmonger で追跡され、 証明書の有効期限が切れる前に自動的に更新が試行されます。
Identity Management に登録されているクライアント上での OpenLDAP クライアントツールの自動設定
Red Hat Enterprise Linux 6.4 では、 Identity Management のクライアントインストール中に、 デフォルトの LDAP URI、 Base DN、 TLS 証明書に準じて OpenLDAP が自動的に設定されます。 これにより Identity Management ディレクトリサーバーに対して LDAP 検索を行なう際のユーザー側の使用感が向上されます。
python-nss の PKCS#12 に対応
ネットワークセキュリティサービス (NSS) や Netscape ポータブルランタイム (NSPR)に Python バインディングを提供する python-nss パッケージが更新され、PKCS #12 に対応するようになりました。
DNS 対応の完全な Persistent Search
Red Hat Enterprise Linux 6.4 の LDAP にはゾーンとそのリソース記録の両方に対する persistent search のサポートが同梱されています。 persistent search を使用すると LDAP データベース内のすべての変更を bind-dyndb-ldap プラグインに直ちに知らせることができるようになります。 また、 反復ポーリングにより必要となるネットワーク帯域幅の使用率が低減されます。
CLEANALLRUV の新しい動作
Database Replica Update Vector (RUV) 内の廃止予定のエレメントが
CLEANRUV
動作で削除できます。 この動作では単一サプライヤーまたはマスターで廃止予定のエレメントが削除されます。 Red Hat Enterprise Linux 6.4 には、 すべてのレプリカから廃止予定の RUV データを削除できる新しい CLEANALLRUV
動作が追加されるため、 単一のサプライヤーまたはマスターでのみ実行する必要があります。
samba4 ライブラリの更新
samba4 ライブラリ (samba4-libs パッケージで提供) が最新のアップストリームバージョンにアップグレードされ、 Active Directory (AD) ドメインとの相互運用性が向上されました。 これにより SSSD が
libndr-krb5pac
ライブラリを使って Active Directory のキー配布センター (KDC) で発行される特権属性証明書 (PAC) の解析を行なうようになります。 また、 各種の改善がローカルセキュリティ機関 (LSA) と Net Logon サービスに対して行なわれ、 Windows システムからの信頼性を検証できるようになります。 samba4 パッケージに依存する Cross Realm Kerberos Trust 機能については、 「Identity Management での Cross Realm Kerberos Trust 機能」 を参照してください。
警告
Samba を使用している環境で Red Hat Enterprise Linux 6.3 から Red Hat Enterprise Linux 6.4 にアップグレードを行なう場合には、 必ず samba4 をアンインストールしてアップグレード中に競合が発生しないようにしてください。
Cross Realm Kerberos Trust 機能はテクノロジープレビューとみなされるため、 samba4 のいくつかのコンポーネントもテクノロジープレビューとみなされます。 テクノロジープレビューとみなされている Samba パッケージの詳細は 表5.1「Samba4 パッケージのサポート」 をご覧ください。
パッケージ名 | 6.4 からの新パッケージ? | サポートの状態 |
---|---|---|
samba4-libs | いいえ | テクノロジープレビュー、 OpenChange で必要となる機能を除く |
samba4-pidl | いいえ | テクノロジープレビュー、 OpenChange で必要となる機能を除く |
samba4 | いいえ | テクノロジープレビュー |
samba4-client | はい | テクノロジープレビュー |
samba4-common | はい | テクノロジープレビュー |
samba4-python | はい | テクノロジープレビュー |
samba4-winbind | はい | テクノロジープレビュー |
samba4-dc | はい | テクノロジープレビュー |
samba4-dc-libs | はい | テクノロジープレビュー |
samba4-swat | はい | テクノロジープレビュー |
samba4-test | はい | テクノロジープレビュー |
samba4-winbind-clients | はい | テクノロジープレビュー |
samba4-winbind-krb5-locator | はい | テクノロジープレビュー |
Identity Management での Cross Realm Kerberos Trust 機能
Identity Management で提供される Cross Realm Kerberos Trust 機能はテクノロジープレビューとして同梱されます。 Identity Management のドメインと Active Directory のドメイン間での信頼関係を作成することができます。 つまり、 Active Directory ドメインのユーザーが Identity Management ドメインのリソースやサービスに Active Directory の認証情報を使ってアクセスすることができるようになります。 Active Directory と Identity Management のドメインコントローラー間でのデータの同期は必要ありません。 Active Directory のユーザーは常に Active Directory のドメインコントローラーに対して認証が行なわれるため、 ユーザーに関する情報の検索に同期は必要ありません。
この機能はオプションの ipa-server-trust-ad パッケージよって提供されます。 パッケージは samba4 でしか利用できない機能に依存します。 samba4-* の各パッケージが samba-* の各パッケージと競合するため、 ipa-server-trust-ad をインストールする場合はまず samba-* のパッケージをすべて削除しておく必要があります。
ipa-server-trust-ad パッケージをインストールする場合には、
ipa-adtrust-install
コマンドをすべての Identity Management サーバーとレプリカで実行して Identity Management で信頼関係を処理できるようにする必要があります。 インストールが完了すると ipa trust-add
または WebUI を使ってコマンドラインで信頼を確立することができます。 詳細については https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/ にある 『Identity Management Guide (Identity Management ガイド)』 の 『Integrating with Active Directory Through Cross-Realm Kerberos Trusts (Cross-Realm Kerberos Trust 機能を使った Active Directory との統合)』 のセクションを参照してください。
389 Directory Server 向け Posix スキーマに対応
Windows Active Directory (AD) ではユーザーおよびグループのエントリに POSIX スキーマ (RFC 2307 と 2307bis) をサポートしています。 多くの場合、 Active Directory は POSIX 属性などを含めユーザーおよびグループデータの認証ソースとして使用されます。 Red Hat Enterprise Linux 6.4 では、 Directory Server の Windows 同期でこれらの属性が無視されなくなります。 このためユーザーは Active Directory と 389 Directory Server 間の Windows 同期で POSIX 属性を同期できるようになります。
注記
Directory Server に新規のユーザーやグループのエントリを追加してもその POSIX の属性は Active directory とは同期されません。 一方、 新規のユーザーやグループのエントリの追加を Active Directory に対して行なうと Directory Server との同期が行なわれるため、 属性の変更がいずれに対しても同期されるようになります。