7.7. Identity Management
DNSSEC が IdM でテクノロジープレビューとして利用可能になる
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
Jira:RHELPLAN-121751[1]
IdM デプロイメントにおける DNS over TLS (DoT) がテクノロジープレビューとして利用可能になる
DNS over TLS (DoT) を使用した暗号化された DNS が、Identity Management (IdM) デプロイメントのテクノロジープレビューとして利用できるようになりました。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。
この機能を使い始めるには、IdM サーバーとレプリカに ipa-server-encrypted-dns
パッケージをインストールし、IdM クライアントに ipa-client-encrypted-dns
パッケージをインストールします。管理者は、インストール中に --dns-over-tls
オプションを使用して DoT を有効にできます。
IdM は、Unbound をローカルキャッシュリゾルバーとして設定し、BIND を DoT 要求を受信するように設定します。この機能は、コマンドラインインターフェイス (CLI) および IdM の非対話型インストールを通じて利用できます。
IdM サーバー、レプリカ、クライアント、および統合 DNS サービスのインストールユーティリティーに次のオプションが追加されました。
-
--dot-forwarder
は、アップストリーム DoT 対応 DNS サーバーを指定します。 -
--dns-over-tls-key
と--dns-over-tls-cert
は、DoT 証明書を設定します。 -
--dns-policy
は、暗号化されていない DNS へのフォールバックを許可するか、厳密な DoT の使用を強制するかのどちらかを行う DNS セキュリティーポリシーを設定します。
デフォルトでは、IdM は、暗号化されていない DNS へのフォールバックを許可する、relaxed
DNS ポリシーを使用します。新しい --dns-policy
オプションを enforced
設定で使用することで、暗号化のみの通信を強制できます。
また、新しい DoT オプションを指定した ipa-dns-install
を使用して統合 DNS サービスを再設定することにより、既存の IdM デプロイメントで DoT を有効にすることもできます。
詳細は、IdM での DoT による DNS の保護 を参照してください。
Jira:RHEL-67912, Jira:RHELDOCS-20058
IdM 間の移行がテクノロジープレビューとして利用可能になる
IdM 間の移行は、Identity Management でテクノロジープレビューとして利用できます。新しい ipa-migrate
コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合や、2 つの実稼働サーバー間で IdM データを移行する場合に役立ちます。
Jira:RHELDOCS-18408[1]
logconv.py
がテクノロジープレビューとして利用可能になる
logconv.py
ユーティリティーは、Directory Server でテクノロジープレビューとして利用できます。logconv.py
は、従来の logconv.pl
ユーティリティーの将来的な代替として提供されるもので、Directory Server のアクセスログを分析し、使用状況の統計を抽出したり、重要なイベントの発生回数をカウントしたりするために使用できます。
ユーティリティーの構文:
logconv.py /var/log/dirsrv/slapd-<instance_name>/access
logconv.py /var/log/dirsrv/slapd-<instance_name>/access
ユーティリティーオプションと使用例の詳細は、logconv.py -h
コマンドを実行してください。