第1章 認証
Directory Server が設定可能な正規化された DN キャッシュをサポートする
今回の更新では、
memberOf
などのプラグインや、多くの DN 構文属性でエントリーを更新する操作のパフォーマンスが向上します。新たに実装された設定可能な DN キャッシュにより、サーバーで DN 処理がより効率的になります。
パスワード以外の認証の使用時に SSSD がパスワード有効期限の警告を表示する
以前は、SSSD は認証フェーズでのみパスワードの有効性を検証できました。SSH ログイン中になど、パスワード以外の認証方法を使用した場合、SSSD は認証フェーズで呼び出されなかったため、パスワードの有効性チェックを実行しませんでした。この更新により、チェックが認証フェーズからアカウントフェーズに移行します。その結果、認証中にパスワードが使用されていなくても、SSSD はパスワードの有効期限の警告を発行できます。詳細は、デプロイメントガイドを参照してください。 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html
SSSD は、ユーザープリンシパル名を使用したログインをサポートします。
ユーザー名の他に、Active Directory ユーザーが利用できる機能およびユーザーログインを識別するために、SSSD が User Principal Name (UPN)属性を使用できるようになりました。今回の機能拡張により、ユーザー名およびドメイン、または UPN 属性のいずれかで AD ユーザーとしてログインできるようになりました。
SSSD は、キャッシュされたエントリーのバックグラウンド更新に対応します。
SSSD は、キャッシュされたエントリーをバックグラウンドで帯域外に更新できます。この更新より前は、キャッシュされたエントリーの有効性の有効期限が切れると、SSSD はリモートサーバーからそれらを取得し、それらをデータベースに保存していました。これには時間がかかる可能性がありました。今回の更新により、バックエンドは常に更新する必要があるため、エントリーがすぐに返されます。SSSD は、要求時だけでなく、エントリーを定期的にダウンロードするため、これによりサーバーに負荷が大きいことに注意してください。
sudo コマンドは zlib 圧縮 I/O ログをサポートします。
sudo コマンドが
zlib
サポートでビルドされ、sudo が圧縮された I/O ログを生成して処理できるようになりました。
新しいパッケージ:openscap-scanner
以前は スキャナーツールが含まれていた openscap- utils パッケージの依存関係をすべてインストールしなくても、管理者が OpenSCAP スキャナー(oscap)をインストールして使用できるようになりました。OpenSCAP スキャナーの個別のパッケージ化により、不要な依存関係のインストールに関連する潜在的なセキュリティーリスクが軽減されます。openscap-utils パッケージは引き続き利用でき、他のさまざまなツールが含まれています。oscap ツールのみを必要とするユーザーは、openscap-utils パッケージを削除し、openscap-scanner パッケージをインストールすることが推奨されます。
新しいパッケージ:scap-workbench (SCAP 評価を簡単に評価)
SCAP Workbench を使用すると、SCAP コンテンツの調整および単一マシンの評価を簡単に使用できます。scap-security-guide コンテンツの統合により、エントリーバリアが大幅に低下します。今回の更新以前は、Red Hat Enterprise Linux 6 には scap-security-guide パッケージおよび openscap パッケージが含まれていましたが、scap-workbench パッケージは含まれていませんでした。SCAP Workbench を使用しない場合、コマンドラインは SCAP 評価をテストするために必要です。これはエラーが発生し、一部のユーザーにとっては主要な障害となります。SCAP Workbench を使用すると、1 台のマシンで簡単に SCAP コンテンツとテスト評価をカスタマイズできます。
NSS で対応している場合は、TLS 1.0 以降がデフォルトで有効になります。
CVE-2014-3566 により、SSLv3 以前のプロトコルバージョンはデフォルトで無効になっています。Directory Server は、NSS ライブラリーが提供する範囲で、TLSv1.1 や TLSv1.2 などのよりセキュアな SSL プロトコルを受け入れるようになりました。コンソールが Directory Server インスタンスとの通信時に使用する SSL 範囲を定義することもできます。
OpenLDAP には pwdChecker ライブラリーが含まれています。
今回の更新では、OpenLDAP
pwdChecker
ライブラリーを含めることで、OpenLDAP の Check Password
拡張が導入されています。この拡張機能は、Red Hat Enterprise Linux 6 の PCI コンプライアンスに必要です。
SSSD は、自動的に検出された AD サイトのオーバーライドに対応します。
クライアントが接続する Active Directory (AD) DNS サイトはデフォルトで自動的に検出されます。ただし、デフォルトの自動検索では、特定のセットアップで最も適した AD サイトが検出されない可能性があります。このような場合は、
/etc/sssd/sssd.conf
ファイルの [domain/NAME]
セクションにある ad_site
パラメーターを使用して、DNS サイトを手動で定義できるようになりました。ad_site
に関する詳細は、Identity Management Guide: を参照してください。 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
certmonger は SCEP をサポートしています
certmonger
サービスが Simple Certificate Enrollment Protocol (SCEP)をサポートするように更新されました。サーバーから証明書を取得するために、SCEP を介した登録を提供できるようになりました。
Directory Server 削除操作のパフォーマンスの向上
以前は、グループ削除操作中に実行される再帰的なネストされたグループルックアップが、非常に大きな静的グループがある場合、完了するのに時間がかかりました。ネストされたグループチェックをスキップできるように新しい
memberOfSkipNested
設定属性が追加され、削除操作のパフォーマンスが大幅に改善されました。
SSSD は、WinSync から Cross-Realm Trust へのユーザー移行をサポートします。
Red Hat Enterprise Linux 6.7 に、新しい設定の新しい
ID ビュー
メカニズムが実装されました。ID ビューを使用すると、Active Directory が使用する WinSync 同期ベースのアーキテクチャーから、クロスレルム信頼に基づくインフラストラクチャーに Identity Management ユーザーの移行が可能になります。ID ビューと移行手順の詳細は、Identity Management Guide ( https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)を参照してください。
SSSD が localauth Kerberos プラグインに対応
今回の更新で、ローカル認可用の
localauth
Kerberos プラグインが追加されました。このプラグインは、Kerberos プリンシパルが自動的にローカルの SSSD ユーザー名にマッピングされるようにします。このプラグインでは、krb5.conf
ファイルで auth_to_local
パラメーターを使用する必要がなくなりました。プラグインの詳細は、Identity Management Guide ( https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)を参照してください。
SSSD は、システムログイン権限なしで指定されたアプリケーションへのアクセスに対応します。
pam_sss
モジュールに domains=
オプションが追加されました。これにより、/etc/sssd/sssd.conf
ファイルの domains=
オプションが上書きされます。今回の更新で、pam_trusted_users
オプションが追加され、SSSD デーモンが信頼する数値の UID またはユーザー名のリストを追加できるようになりました。さらに、信頼できないユーザーでもアクセス可能な pam_public_domains
オプションとドメインのリストが追加されました。これらの新しいオプションにより、通常のユーザーがシステム自体のログイン権限なしで指定されたアプリケーションにアクセスできるシステム設定が有効になります。詳細は、Identity Management Guide を参照してください。 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD は、AD および IdM 全体で一貫したユーザー環境に対応します。
sssd
サービスは、Identity Management (IdM)と信頼関係にある Active Directory (AD)サーバーに定義されている POSIX 属性を読み取ることができます。この更新により、管理者はカスタムユーザーシェル属性を AD サーバーから IdM クライアントに転送できます。SSSD は、IdM クライアントのカスタム属性を表示します。今回の更新で、企業全体で一貫性のある環境を維持できるようになりました。クライアントの homedir
属性は、現在 AD サーバーの subdomain_homedir
値を表示することに注意してください。詳細は、Identity Management Guide を参照してください。 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD は、ログイン前に AD の信頼できるユーザーのグループの表示に対応しています。
Identity Management (IdM)と信頼関係にある AD フォレストの Active Directory (AD)ユーザーは、ログイン前にグループメンバーシップを解決できるようになりました。その結果、
id
ユーティリティーは、ユーザーがログインしなくても、これらのユーザーのグループを表示するようになりました。
getcert は、certmonger を使用しない証明書の要求をサポートします。
Identity Management (IdM)クライアントのキックスタート登録中に
getcert
ユーティリティーを使用して証明書を要求すると、certmonger
サービスを実行する必要がなくなりました。以前は、certmonger
が実行されていないため、これを試行できませんでした。今回の更新により、getcert
は、D-Bus デーモンが実行されていない条件で、上記の状況で証明書を正常に要求できるようになりました。certmonger
は、再起動後にのみ、この方法で取得した証明書の監視を開始することに注意してください。
SSSD はユーザー ID のケースの保存をサポートします。
SSSD は、
case_sensitive
オプションで true
、false
、および preserve
の値をサポートするようになりました。preserve
値が有効にな場合には、入力内容は大文字と小文字に関係なく一致しますが、出力内容は常にサーバーと同じになります。SSSD は、設定された UID フィールドの大文字、小文字を保持します。
SSSD は、ロックされたアカウントの SSH ログインアクセスの拒否をサポートします。
以前は、SSSD が認証データベースとして OpenLDAP を使用すると、ユーザーアカウントがロックされた場合でも、ユーザーは SSH 鍵を使用してシステムに正常に認証できました。
ldap_access_order
パラメーターは、上記の状況でユーザーへの SSH アクセスを拒否する ppolicy
値を受け入れるようになりました。ppolicy
の使用に関する詳細は、sssd-ldap (5) man ページの ldap_access_order
の説明を参照してください。
SSSD による AD での GPO の使用
SSSD は、アクセス制御に Active Directory (AD)サーバーに保存されている Group Policy Objects (GPO)を使用できるようになりました。今回の機能拡張により、Windows クライアントの機能に類似しており、単一のアクセス制御ルールセットを使用して Windows マシンと Unix マシンの両方を処理できるようになりました。実質的に、Windows 管理者は GPO を使用して Linux クライアントへのアクセスを制御できるようになりました。詳細は、Identity Management Guide ( https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html)を参照してください。