第1章 認証
Directory Server で設定可能な正規化 DN キャッシュに対応
memberOf などのプラグインや多数の DN 構文属性を持つエントリーの更新動作などのパフォーマンスが向上されています。新たに実装された設定可能な正規化 DN キャッシュによりサーバーでの DN 処理がより効率的になります。
SSSD でパスワード以外の認証を使用した際にパスワード期限切れの警告を表示
今まで SSSD では認証フェースでしかパスワードの有効性を照合することができませんでした。SSH ログインなどパスワード以外の認証方法が使用されると、認証の際に SSSD が呼び出されないためパスワードの有効性の照合が行われていませんでした。今回の更新によりこの照合が認証フェーズからアカウントフェーズに移行されたため、認証時にパスワードが使用されなくてもパスワード期限切れの警告を発することができるようになります。詳細は導入ガイドを参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html)
SSSD でユーザープリンシパル名を使ったログインに対応
ユーザーおよびユーザーログインを識別する際、SSSD ではユーザー名に加えユーザープリンシパル名 (UPN) 属性を使用できるようになります。ユーザープリンシパル名とは Active Directory ユーザーが使用する機能です。この機能強化によりユーザー名とドメインまたは UPN 属性いずれを使っても AD ユーザーとしてログインできるようになります。
SSSD でキャッシュエントリーのバックグラウンド更新に対応
SSSD でキャッシュエントリーの帯域外更新をバックグラウンドで行うようになります。今まではキャッシュエントリーの有効期限が切れた時点でリモートサーバーからフェッチし、データベースに新規エントリーとして保存していたため時間がかかっていました。今回の更新によりエントリーはバックエンドで常に更新されるため瞬時に返されるようになります。要求があった場合にのみエントリーをダウンロードするのではなく、定期的にエントリーのダウンロードを行うため、以前に比べ負荷が高くなるので注意してください。
sudo コマンドで zlib 圧縮の I/O ログに対応
sudo コマンドのビルドに zlib サポートが追加され、sudo での圧縮 I/O タグの生成と処理が可能になります。
新しいパッケージ: openscap-scanner
新しいパッケージ openscap-scanner により管理者側で OpenSCAP スキャナー (oscap) をインストールし使用することができるようになります。以前は依存パッケージでスキャナーツールに収納されていた openscap-utils パッケージはいずれもインストールする必要がなくなります。OpenSCAP スキャナーを個別にパッケージ化することで不要な依存パッケージのインストールに伴う安全上のリスクを低減しています。OpenSCAP スキャナー以外の他ツールを収納している openscap-utils パッケージは変わらず利用可能です。必要とするツールが oscap のみの場合は、openscap-utils パッケージを削除してから openscap-scanner パッケージをインストールすることをお勧めします。
NSS 側で対応している場合は TLS 1.0 以降のバージョンがデフォルトで有効になる
CVE-2014-3566 のため SSLv3 以前のプロトコルバージョンはデフォルトでは無効になっています。Directory Server では TLSv1.1 や TLSv1.2 など NSS ライブラリー提供の範囲タイプのより安全な SSL プロトコルに対応するようになります。また、Directory Server インスタンスとの通信中にコンソールに使用させる SSL 範囲を指定することもできます。
openldap に pwdChecker ライブラリーを収納
OpenLDAP
pwdChecker ライブラリーを収納することで OpenLDAP の Check Password 拡張を採用しています。この拡張は Red Hat Enterprise Linux 6 の PCI コンプライアンスに必要となります。
SSSD で検出された AD サイトを自動的に無効化
クライアントにより接続された Active Directory (AD) DNS がデフォルトで自動検出されます。ただし、セットアップによってはデフォルトの自動検索では最適な AD サイトが検出されないことがあります。このような場合に、
/etc/sssd/sssd.conf ファイルの [domain/NAME] セクションにある ad_site パラメーターを使って DNS サイトを手作業で指定することができるようになります。ad_site の詳細は Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
certmonger で SCEP に対応
certmonger サービスが更新され SCEP (Simple Certificate Enrollment Protocol) に対応するようになりました。サーバーから証明書を取得する場合に SCEP 経由の送受信を提供できるようになります。
Directory Server の削除動作に関するパフォーマンスの向上
今までは規模が大きい静的なグループが複数あると、グループの削除動作で行われる再帰的にネスト化されたグループの検索に時間がかかっていました。ネスト化されたグループのチェックを省略できるよう新しい設定属性
memberOfSkipNested が追加され、削除動作のパフォーマンスが飛躍的に向上されています。
SSSD で WinSync から Cross-Realm Trust へのユーザーの移行に対応
Red Hat Enterprise Linux 6.7 ではユーザー設定に ID ビューのメカニズムが新たに実装されています。これにより Identity Management のユーザーを Active Directory で使用されている WinSync 同期ベースのアーキテクチャーから Cross-Realm Trust ベースのインフラストラクチャーに移行できるようになります。ID Views および移行手順に関する詳細は Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
SSSD で localauth Kerberos プラグインに対応
ローカル認証用の
localauth Kerberos プラグインを追加しています。このプラグインにより Kerberos プリンシパルが自動的にローカルの SSSD ユーザー名にマッピングされるようになります。このプラグインを使用する場合は krb5.conf ファイルで auth_to_local パラメーターを使用する必要がなくなります。プラグインの詳細は Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
SSSD でシステムへのログイン権限がなくても指定アプリケーションへのアクセスを許可
domains= オプションが pam_sss モジュールに追加されています。このオプションは /etc/sssd/sssd.conf ファイル内の domains= オプションを無効にします。また、本更新では pam_trusted_users オプションが追加され、数字構成の UID 一覧または SSSD デーモンで信頼されているユーザー名の一覧を追加できるようになります。これに加え、pam_public_domains オプション、信頼できないユーザーでもアクセスできるドメインの一覧も追加されています。この新しいオプションにより、システムへのログイン権限がない通常のユーザーにも指定アプリケーションへのアクセスを許可するシステム構成が可能になります。詳細は Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
SSSD で AD および IdM 全体での永続的なユーザー環境に対応
IdM (Identity Management) と信頼関係にある AD (Active Directory) サーバーで定義されている POSIX 属性を SSSD サービスに読み取らせることができるようになります。管理者による AD サーバーから IdM クライアントへのカスタムのユーザーシェル属性の転送が可能になり、SSSD でカスタムの属性を IdM クライアント上で表示させることができるようになるため、組織全体での永続的な環境の維持が可能になります。現在、クライアントの
homedir 属性では AD サーバーからの subdomain_homedir 値が表示されるので注意してください。詳細については Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
SSSD でログイン前に AD が信頼できるユーザーのグループを表示する機能に対応
IdM (Identity Management) と信頼関係にある AD フォレストのドメインの AD (Active Directory) ユーザーがログイン前にグループのメンバーシップを解決できるようになります。結果、
id ユーティリティーではユーザーがログインしなくてもユーザーのグループを表示するようになります。
getcert で certmonger のない証明書要求に対応
IdM (Identity Management) クライアントのキックスタート登録中、
getcert ユーティリティーを使用して証明書を要求する際に certmonger サービスを実行させておく必要がなくなります。今までは certmonger を実行させておかないと証明書の要求は失敗していましたが、今回の更新により getcert は D-Bus デーモンが実行していない状況でも証明書を正しく要求できるようになります。取得した証明書の certmonger による監視は再起動後にしか開始されないため注意してください。
SSSD でユーザーの識別子の大文字と小文字の区別を維持する機能に対応
SSSD では
case_sensitive オプションの値として true、false、preserve に対応するようになります。preserve 値を有効にすると入力の場合は大文字、小文字の区別に関係なく一致しますが、出力は常にサーバーと同じ大文字と小文字になります。SSSD では UID フィールドで設定した大文字と小文字を維持します。
SSSD でロックされたアカウントによる SSH ログインアクセスの拒否に対応
これまでは SSSD が OpenLDAP を認証データベースとして使用したときに、ユーザーのアカウントがロックされた後であっても SSH キーを使えばそのユーザーはシステムに認証されてしまいました。
ldap_access_order パラメーターで ppolicy 値に対応するようになり、このような状況の場合にはユーザーへの SSH アクセスを拒否できるようになります。ppolicy の使い方については sssd-ldap(5) man ページの ldap_access_order に関する記載をご覧ください。
SSSD で AD での GPO の使用に対応
アクセス制御のため AD (Active Directory) に格納されている GPO(Group Policy Object) を SSSD で使用できるようになります。Windows クライアントの機能を再現し、1 種類のアクセス制御ルールセットで Windows と Unix 両方のマシンを処理できるようになります。実際、Windows 管理者は GPO を使って Linux クライアントへのアクセス制御を行うことができます。詳細は Identity Management Guide を参照してください。(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)
