第13章 認証および相互運用性
手動バックアップおよび復元機能
今回の更新で、Identity Management (IdM)に ipa-backup コマンドおよび ipa-restore コマンドが追加されました。これにより、ユーザーは IdM データを手動でバックアップし、ハードウェアに障害が発生した場合に復元できるようになりました。詳細は、ipa-backup(1) および ipa-restore(1) の man ページ、または Linux ドメイン ID、認証、およびポリシーガイド のドキュメントを参照してください。
WinSync から信頼への移行のサポート
今回の更新で、ユーザー設定の新しい
ID ビュー
メカニズムが実装されました。これにより、Active Directory
が使用する WinSync 同期ベースのアーキテクチャーからレルム間の信頼に基づくインフラストラクチャーへの Identity Management ユーザーの移行が可能になります。ID ビュー
と移行手順の詳細は、Windows Integration Guide のドキュメントを参照してください。
ワンタイムパスワード認証
認証セキュリティーを強化する最適な方法の 1 つは、2 つの要素認証(2FA)を必要とすることです。非常に一般的なオプションは、ワンタイムパスワード(OTP)を使用することです。この手法はプロプライエタリースペースで開始しますが、間もなくオープンな標準が発生しました(HOTP: RFC 4226、TOTP: RFC 6238)。Red Hat Enterprise Linux 7.1 の Identity Management には、標準の OTP メカニズムの最初の実装が含まれています。詳細は、System-Level Authentication Guide のドキュメントを参照してください。
一般的なインターネットファイルシステムの SSSD 統合
cifs-utils ユーティリティーが ID-mapping プロセスを実行する方法を設定するために、
SSSD
が提供するプラグインインターフェイスが追加されました。これにより、SSSD
クライアントは Winbind サービスを実行しているクライアントと同じ機能を持つ CIFS 共有にアクセスできるようになりました。詳細は、Windows Integration Guide のドキュメントを参照してください。
認証局管理ツール
ipa-cacert-manage renew コマンドが Identity Management (IdM)クライアントに追加されました。これにより、IdM 認証局(CA)ファイルを更新できます。これにより、ユーザーは外部 CA が署名した証明書を使用して IdM をスムーズにインストールし、設定できます。この機能の詳細は、ipa-cacert-manage(1) の man ページを参照してください。
アクセス制御の粒度の向上
Identity Management (IdM)サーバー UI で、特定セクションの読み取りパーミッションを調整できるようになりました。これにより、IdM サーバー管理者は、選択したユーザーにのみ特権コンテンツのアクセシビリティーを制限できます。さらに、IdM サーバーの認証されたユーザーは、デフォルトでそのすべてのコンテンツに対する読み取りパーミッションが付与されなくなりました。この変更により、IdM サーバーデータの全体的なセキュリティーが向上します。
非特権ユーザーのドメインアクセスの制限
domains=
オプションが pam_sss
モジュールに追加されました。これにより、/etc/sssd/sssd.conf
ファイルの domains=
オプションがオーバーライドされます。さらに、今回の更新で、pam_trusted_users
オプションが追加されました。これにより、ユーザーは SSSD
デーモンが信頼する数値の UID またはユーザー名の一覧、pam_public_domains
オプション、および信頼できないユーザーがアクセスできるドメインの一覧を追加できます。上記の追加により、通常のユーザーが指定のアプリケーションにアクセスできますが、システム自体にはログイン権限がありません。この機能の詳細は、Linux ドメイン ID、認証、およびポリシーガイド の ドキュメントを参照してください。
データプロバイダーの自動設定
ipa-client-install コマンドは、デフォルトで
SSSD
を sudo サービスのデータプロバイダーとして設定するようになりました。この動作は、--no-sudo
オプションを使用して無効にできます。さらに、Identity Management クライアントインストールの NIS ドメイン名を指定する --nisdomain
オプションが追加され、NIS ドメイン名を設定しないように --no_nisdomain
オプションが追加されました。このオプションのいずれも使用されていない場合は、代わりに IPA ドメインが使用されます。
AD および LDAP sudo プロバイダーの使用
AD プロバイダーは、Active Directory サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.1 では、AD sudo プロバイダーを LDAP プロバイダーと共に使用することは、テクノロジープレビューとしてサポートされます。AD sudo プロバイダーを有効にするには、
sssd.conf
ファイルの domain セクションに sudo_provider=ad
設定を追加します。
32 ビットバージョンの krb5-server および krb5-server-ldap が非推奨に
32 ビットバージョンの
Kerberos 5 Server
は配布されなくなり、Red Hat Enterprise Linux 7.1、krb5-server. i686、krb5-server. s390、krb5-server. ppc、krb5-server-ldap. i686、krb5-server-ldap. s390、および krb5-server-ldap. ppc 以降非推奨になりました。Red Hat Enterprise Linux 7 では 32 ビットバージョンの krb5-server を配布する必要はありません。これは、AMD64 および Intel 64 システム(x86_
64)、64 ビット IBM Power Systems サーバー(ppc64
)、および IBM System z (s390x
)のアーキテクチャーでのみサポートされています。
SSSD は GPO ポリシーを使用して HBAC を定義する
SSSD は、アクセス制御に AD サーバーに保存されている GPO オブジェクトを使用できるようになりました。この機能拡張は Windows クライアントの機能を模倣し、Windows マシンと Unix マシンの両方を処理する単一のアクセス制御ルールセットを使用できるようになりました。実質的に、Windows 管理者は GPO を使用して Linux クライアントへのアクセスを制御できるようになりました。
IPA の Apache モジュール
Apache モジュールのセットがテクノロジープレビューとして Red Hat Enterprise Linux 7.1 に追加されました。外部アプリケーションで Apache モジュールを使用して、簡易認証以外に Identity Management とのより密接な対話を実現できます。