第3章 認証および相互運用性
Identity Management はデフォルトで一方向の信頼を設定します。
ipa trust-add コマンドは、デフォルトで一方向の信頼を設定するようになりました。一方向の信頼により、Active Directory (AD)のユーザーおよびグループは、Identity Management (IdM)のリソースにアクセスできますが、他の方法ではアクセスできません。以前は、ipa trust-add を実行して設定されたデフォルトの信頼は双方向の信頼でした。
IdM では、--two-way=true オプションを ipa trust-add に追加して双方向の信頼を設定できます。
OpenLDAP のバージョン 2.4.40 へのリベース
openldap パッケージがアップストリームバージョン 2.4.40 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、ORDERING マッチングルールが
ppolicy 属性タイプの説明に追加されました。修正されたバグには、SRV レコードの処理時にサーバーが予期せず終了しなくなり、objectClass 情報がないため、ユーザーは標準の方法でフロントエンド設定を変更できるようになりました。
SSSD でのキャッシュ認証
オンラインモードでも SSSD で再接続を試みないキャッシュに対する認証が利用できるようになりました。ネットワークサーバーに対して繰り返し直接認証すると、過剰なアプリケーションレイテンシーが発生する可能性があり、ログインプロセスが過剰に時間がかかる可能性があります。
SSSD は、個々のクライアントで UID および GID マッピングを有効にします。
SSSD を使用して、クライアント側設定を使用して、特定の Red Hat Enterprise Linux クライアントの異なる UID および GID にユーザーをマッピングできるようになりました。このクライアント側のオーバーライドは、UID と GID の重複による問題を解決したり、以前は異なる ID マッピングを使用したレガシーシステムからの移行を容易にしたりできます。
オーバーライドは SSSD キャッシュに保存されているため、キャッシュを削除するとオーバーライドも削除されます。
SSSD が、ロックされたアカウントへの SSH アクセスを拒否するようになりました。
以前は、SSSD が OpenLDAP を認証データベースとして使用する場合、ユーザーアカウントがロックされても、ユーザーは SSH 鍵を使用してシステムに正常に認証できました。
ldap_access_order パラメーターは ppolicy 値を受け入れるようになりました。これにより、説明されている状況でユーザーへの SSH アクセスを拒否することができます。ppolicy の使用に関する詳細は、sssd-ldap (5) man ページの ldap_access_order の説明を参照してください。
sudo ユーティリティーがコマンドチェックサムを検証できるようになりました。
sudo ユーティリティーの設定は、許可されたコマンドまたはスクリプトのチェックサムを保存できるようになりました。コマンドまたはスクリプトが再度実行されると、チェックサムが保存されたチェックサムと比較され、何も変更されていないことを確認できます。コマンドまたはバイナリーが変更されると、sudo ユーティリティーはコマンドの実行を拒否するか、警告をログに記録します。この機能により、インシデントの発生時に責任および問題の解決を正しく解除できます。
SSSD スマートカードのサポート
SSSD が、ローカル認証用のスマートカードに対応するようになりました。この機能を使用すると、ユーザーはスマートカードを使用して、テキストベースのコンソールまたはグラフィカルコンソール、および sudo サービスなどのローカルサービスを使用してシステムにログインできます。ユーザーは、スマートカードをリーダーに配置し、ログインプロンプトでユーザー名とスマートカード PIN を提供します。スマートカードの証明書が検証されると、ユーザーが正常に認証されます。
SSSD は現在、ユーザーがスマートカードを使用して Kerberos チケットを取得することができないことに注意してください。Kerberos チケットを取得するには、kinit ユーティリティーを使用して認証する必要があります。
複数の証明書プロファイルおよびユーザー証明書のサポート
Identity Management は、単一のサーバー証明書プロファイルのみをサポートするのではなく、サーバーおよびその他の証明書を発行するための複数のプロファイルをサポートするようになりました。プロファイルは Directory Server に保存され、IdM レプリカ間で共有されます。
さらに、管理者が個々のユーザーに証明書を発行できるようになりました。以前は、ホストおよびサービスに証明書を発行することしかできませんでした。
パスワード vault
パスワードや鍵などの秘密ユーザー情報のセキュアな中央ストレージが Identity Management に追加されました。パスワード vault は、公開鍵インフラストラクチャー(PKI)の Key Recovery Authority (KRA)サブシステム上に構築されます。
Identity Management の Kerberos HTTPS プロキシー
Microsoft Kerberos KDC Proxy Protocol (MS-KKDCP)実装で相互運用可能な Key Distribution Center (KDC)プロキシー機能が Identity Management で利用でき、クライアントが HTTPS を使用して KDC サービスおよび
kpasswd サービスにアクセスできるようになりました。システム管理者は、専用のアプリケーションを設定して管理することなく、単純な HTTPS リバースプロキシーにより、ネットワークエッジでプロキシーを公開することができるようになりました。
キャッシュされたエントリーのバックグラウンド更新
SSSD は、キャッシュされたエントリーをバックグラウンドで帯域外に更新できるようになりました。今回の更新以前は、キャッシュされたエントリーの有効期限が切れると、SSSD はリモートサーバーからそれらを取得し、それらをデータベースに保存します。そのため、時間がかかる可能性があります。今回の更新により、バックエンドは常にエントリーを更新するため、エントリーが即座に返されます。SSSD は、要求時のみではなくエントリーを定期的にダウンロードするため、これによりサーバーにより多くの負荷がかかることに注意してください。
initgroups 操作のキャッシュ
SSSD 高速メモリーキャッシュは
initgroups 操作をサポートするようになりました。これにより、initgroups 処理の速度が向上し、GlusterFS や slapi-nis などの一部のアプリケーションのパフォーマンスが向上します。
mod_auth_gssapiでの認証のネゴシエート
Identity Management は
mod_auth_gssapi モジュールを使用するようになりました。このモジュールは、以前に使用された mod_auth_kerb モジュールによって使用される直接 Kerberos 呼び出しの代わりに GSSAPI 呼び出しを使用します。
ユーザーライフサイクル管理機能
ユーザーのライフサイクル管理により、管理者はユーザーアカウントのアクティブ化と非アクティブ化をより詳細に制御できます。管理者は、すべてのユーザーアカウントを完全にアクティブ化せずにステージ領域に追加し、非アクティブなユーザーアカウントをアクティベートして、それらを完全に動作させたり、データベースから完全に削除せずにユーザーアカウントを非アクティブ化したりすることで、新しいユーザーアカウントをプロビジョニングできるようになりました。
ユーザーのライフサイクル管理機能により、大規模な IdM デプロイメントに大きなメリットがもたらされます。ユーザーは、直接 LDAP 操作を使用して、標準の LDAP クライアントから直接ステージエリアに追加できることに注意してください。以前は、IdM は、IdM コマンドラインツールまたは IdM Web UI を使用したユーザーの管理のみをサポートしていました。
certmongerでの SCEP サポート
certmonger サービスが、Simple Certificate Enrollment Protocol (SCEP)をサポートするように更新されました。新しい証明書を発行し、SCEP で既存の証明書を更新または置き換えることができるようになりました。
IdM の Apache モジュールが完全にサポートされるようになりました。
Red Hat Enterprise Linux 7.1 でテクノロジープレビューとして追加された Identity Management (IdM)の Apache モジュールが、
mod_authnz_pam、mod_lookup_identity、および mod_intercept_form_submit に完全に対応するようになりました。Apache モジュールを外部アプリケーションで使用して、簡易認証以外の IdM とのより密接な対話を実現できます。
NSS は、許可されるキー強度の最小値を増やします。
Red Hat Enterprise Linux 7.2 の Network Security Services (NSS)ライブラリーは、768 ビットより小さい Diffie-Hellman (DH)鍵交換パラメーターや、キーサイズが 1023 ビット未満の RSA 証明書および DSA 証明書を受け入れなくなりました。許可される最小の鍵強度の値を上げると、Logjam (CVE-2015-4000)や FREAK (CVE-3.10.0-514204)などの既知のセキュリティー脆弱性を悪用できなくなります。
以前のバージョンの Red Hat Enterprise Linux でこのような接続が機能していても、新しい最小値よりも弱い鍵を使用してサーバーへの接続を試みると失敗するようになりました。
NSS は、デフォルトで TLS バージョン 1.1 および 1.2 を有効にします。
NSS がデフォルトで有効にするプロトコルバージョンを使用するアプリケーションは、TLS バージョン 1.1 および TLS バージョン 1.2 プロトコルをさらにサポートするようになりました。
ECDSA 証明書に対応
デフォルトの NSS 暗号リストを使用するアプリケーションは、Elliptic Curve Digital Signature Algorithm (ECDSA)証明書を使用するサーバーへの接続をサポートするようになりました。
OpenLDAP は、NSS のデフォルトの暗号スイートを自動的に選択します。
OpenLDAP クライアントは、サーバーとの通信用に Network Security Services (NSS)のデフォルトの暗号スイートを自動的に選択するようになりました。デフォルトの暗号スイートを OpenLDAP ソースコードで手動で保守する必要がなくなりました。
IdM サーバーを信頼エージェントとして設定することに対応
Identity Management (IdM)は、信頼コントローラーと信頼エージェントの 2 種類の IdM マスターサーバーを区別します。信頼コントローラーは、信頼を確立および維持するために必要なすべてのサービスを実行します。信頼エージェントは、信頼された Active Directory フォレストから、この IdM サーバーに登録されている IdM クライアントにユーザーおよびグループを解決するために必要なサービスのみを実行します。
デフォルトでは、ipa-adtrust-install コマンドを実行すると、IdM サーバーが信頼コントローラーとして設定されます。別の IdM サーバーを信頼エージェントとして設定するには、--add-agents オプションを ipa-adtrust-install に渡します。
WinSync から信頼への自動移行がサポートされるようになりました
新しい ipa-winsync-migrate ユーティリティーを使用すると、WinSync を使用した同期ベースの統合から Active Directory (AD)信頼に基づく統合へのシームレスな移行が可能になります。ユーティリティーは、指定された AD フォレストから WinSync を使用して同期したすべてのユーザーを自動的に移行します。以前は、同期から信頼への移行は、ID ビューを使用して手動でしか実行できませんでした。
ipa-winsync-migrate の詳細は、man ページの ipa-winsync-migrate (1)を参照してください。
ワンタイムパスワードおよび長期のパスワードを要求するマルチステップ
ワンタイムパスワード(トークン)とログインする長期パスワードを使用する場合、ユーザーは両方のパスワードを別々に要求します。これにより、ワンタイムパスワードと、より高速な長いパスワード抽出を使用する場合にユーザーエクスペリエンスが向上します。これにより、オフライン認証に長期のパスワードキャッシュを使用できるようになります。
OpenLDAP の LPK スキーマが LDIF 形式で利用できるようになりました。
LDIF は OpenLDAP インポートスキーマのデフォルト形式であり、openssh-ldap パッケージは LDIF 形式の LDAP 公開鍵(LPK)スキーマも提供するようになりました。そのため、管理者は LDAP に基づいて公開鍵認証を設定する際に LDIF スキーマを直接インポートできます。
Cyrus は AD および IdM サーバーに対して再度認証できます。
cyrus-sasl パッケージのアップストリームリリースでは、Cyrus が古い SASL 実装に対して認証しないように、後方互換性のない変更が導入されました。そのため、Red Hat Enterprise Linux 7 は Active Directory (AD)サーバーおよび Red Hat Enterprise Linux 6 Identity Management (IdM)サーバーに対して認証できませんでした。アップストリームの変更が元に戻され、Cyrus は期待どおりに AD および IdM サーバーに認証できるようになりました。
SSSD は、自動的に検出された AD サイトの上書きに対応
クライアントが接続する Active Directory (AD) DNS サイトは、デフォルトで自動的に検出されます。ただし、デフォルトの自動検索は、特定のセットアップで最も適した AD サイトを検出しない場合があります。このような場合は、
/etc/sssd/sssd.conf ファイルの [domain/NAME] セクションで ad_site パラメーターを使用して DNS サイトを手動で定義できるようになりました。
SAML ECP のサポートが追加されました。
Security Assertion Markup Language (SAML) Enhanced Client or Proxy (ECP)のサポートを追加するために、lasso パッケージがバージョン 2.5.0 にリベースされ、mod_auth_mellon パッケージがバージョン 0.11.0 にリベースされました。SAML ECP は、ブラウザーベース以外のシングルサインオン(SSO)を許可する別の SAML プロファイルです。
winbindd サービスは、デフォルト設定でグループメンバーシップを一覧表示しなくなりました。
Samba バージョン 4.2.0 以降の
winbindd サービスは、表示目的でグループメンバーシップを一覧表示しなくなりました。信頼できるドメインを使用する環境では、この情報を確実に提供できるとは限りませんでした。不正確な情報を提供するリスクを防ぐために、デフォルトの winbindd 設定が winbind 展開 groups = 0 に変更され、以前の動作が無効になりました。getent group コマンドなどの一部のコマンドは、以前はこの機能に依存しており、以前と同じように機能しない可能性があることに注意してください。
