第5章 認証および相互運用性

Red Hat Enterprise Linux 6.3 で導入された機能が数多く、Red Hat Enterprise Linux 6.4 で完全にサポートされるようになりました。具体的には以下を実行します。

Kerberos バージョン 1.10 では、新しいキャッシュストレージタイプ DIR: が追加されました。これにより、Kerberos は複数の鍵配布センター(KDC)用のチケット保証チケット(TGT)を同時に維持し、Kerberos 対応のリソースでネゴシエートする際にそれらの間を自動選択できるようになります。Red Hat Enterprise Linux 6.4 では、SSSD が拡張され、SSSD 経由でログインするユーザーの DIR: キャッシュを選択できるようになりました。この機能はテクノロジープレビューとして提供されています。

Red Hat Enterprise Linux 6.4 では、ipa group-add-member コマンドを使用すると、Active Directory ベースの信頼されるドメインのメンバーを、Identity Management で 外部 としてマークされているグループに追加できます。これらのメンバーは、ドメインまたは UPN ベースの構文を使用して名前で指定できます（例： AD\UserName、AD\GroupName、または User@AD.Domain ）。このフォームで指定されると、メンバーは Active Directory ベースの信頼されるドメインのグローバルカタログに対して解決され、SID (Security Identifier)値を取得します。

または、SID 値を直接指定することもできます。この場合、ipa group-add-member コマンドは、SID 値のドメイン部分が、信頼された Active Directory ドメインの 1 つであることを確認します。ドメイン内の SID の有効性の確認は試行されません。

SID 値を直接提供するのではなく、ユーザーまたはグループ名の構文を使用して外部メンバーを指定することが推奨されます。

新しい認証局のデフォルトの有効期間は 10 年間です。CA はサブシステム(OCSP、監査ログなど)に多数の証明書を発行します。サブシステム証明書は通常 2 年間有効です。証明書の有効期限が切れると、CA は起動しないか、適切に機能しません。そのため、Red Hat Enterprise Linux 6.4 では、Identity Management サーバーはサブシステム証明書を自動的に更新できます。サブシステム証明書は certmonger によって追跡され、有効期限が切れる前に証明書の更新を自動的に試行します。

Red Hat Enterprise Linux 6.4 では、OpenLDAP は、Identity Management クライアントのインストール時に、デフォルトの LDAP URI、Base DN、および TLS 証明書で自動的に設定されます。これにより、Identity Management Directory Server への LDAP 検索を実行する場合のユーザーエクスペリエンスが向上します。

Network Security Services (NSS)および Netscape Portable Runtime (NSPR)に Python バインディングを提供する python-nss パッケージが更新され、PKCS #12 サポートが追加されました。

Red Hat Enterprise Linux 6.4 の LDAP には、ゾーンとリソースレコードの両方に対する永続的な検索のサポートが含まれています。永続検索により、bind-dyndb-ldap プラグインに LDAP データベースのすべての変更を即座に通知できます。また、ポーリングを繰り返すことで必要なネットワーク帯域幅の使用量も減少します。

Database Replica Update Vector (RUV)の廃止要素は、CLEANRUV 操作で削除できます。これにより、単一のサプライヤーまたはマスターから削除できます。Red Hat Enterprise Linux 6.4 では、新しい CLEANALLRUV 操作が追加され、すべてのレプリカから廃止された RUV データを削除でき、単一のサプライヤー/マスターでのみ実行する必要があります。

samba4 ライブラリー( samba4-libs パッケージにより提供される)が最新のアップストリームバージョンにアップグレードされ、Active Directory (AD)ドメインとの相互運用性が改善されました。SSSD は、libndr-krb5pac ライブラリーを使用して、AD キー配布センター(KDC)が発行する特権属性証明書(PAC)を解析するようになりました。さらに、Windows システムからの信頼を検証できるように、ローカルセキュリティー機関(LSA)および Net Logon サービスにさまざまな改善が行われました。samba4 パッケージに依存するクロスレルム Kerberos 信頼機能は、「Identity Management のクロスレルム Kerberos 信頼機能」 を参照してください。

クロスレルム Kerberos 信頼機能はテクノロジープレビューと見なされるため、選択された samba4 コンポーネントはテクノロジープレビューとみなされます。Samba パッケージがテクノロジープレビューとして考慮されるかの詳細は、表5.1「Samba4 パッケージのサポート 」 を参照してください。

Identity Management が提供する Cross Realm Kerberos Trust 機能は、テクノロジープレビューとして提供されます。この機能により、Identity Management と Active Directory ドメイン間に信頼関係を作成できます。つまり、AD ドメインのユーザーは、AD 認証情報を使用して、Identity Management ドメインのリソースおよびサービスにアクセスできます。Identity Management と AD ドメインコントローラーの間でデータを同期する必要はありません。AD ユーザーは、AD ドメインコントローラーに対して認証され、同期を必要とせずにユーザーの情報が検索されます。

この機能は、オプションの ipa-server-trust-ad パッケージにより提供されます。このパッケージは、samba4 でのみ利用できる機能によって異なります。samba4-* パッケージは、対応する samba-* パッケージと競合するため、ipa-server-trust-ad をインストールする前に、すべての samba-* パッケージを削除する必要があります。

Identity Management が信頼を処理できるようにするには、 ipa-server- trust-ad パッケージをすべての Identity Management サーバーおよびレプリカで実行する必要があります。これを行うと、ipa trust-add または WebUI を使用してコマンドラインで信頼を確立できます。詳細は、の 『Identity Management Guide』 の 『Integrating with Active Directory Through Cross-Realm Kerberos Trusts』 のセクションを参照して https://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ ください。

Windows Active Directory (AD)は、ユーザーおよびグループエントリーの POSIX スキーマ(RFC 2307 および 2307bis)をサポートします。多くの場合、AD は、POSIX 属性を含む、ユーザーおよびグループデータの権威ソースとして使用されます。Red Hat Enterprise Linux 6.4 では、Directory Server Windows Sync はこれらの属性を無視しなくなりました。ユーザーは、AD から 389 Directory Server との間で Windows Sync と POSIX 属性を同期できるようになりました。