第19章 認証および相互運用性
AD および LDAP の sudo プロバイダーの使用
AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 では、AD sudo プロバイダーを LDAP プロバイダーと共に使用することは、テクノロジープレビューとしてサポートされます。AD sudo プロバイダーを有効にするには、
sssd.conf
ファイルターミナルの [domain] セクションにsudo_provider=ad
設定を追加します。
DNSSEC が Identity Management でテクノロジープレビューとして利用可能に
統合 DNS を使用する Identity Management サーバーが、DNS プロトコルのセキュリティーを強化する DNS Security Extensions (DNSSEC)に対応するようになりました。Identity Management サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
統合 DNS のある Identity Management サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 応答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
Directory Server で利用可能な Nunc Stans イベントフレームワーク
複数の同時接続を処理するための新しい Nunc Stans イベントフレームワークがテクノロジープレビューとして追加されました。フレームワークにより、パフォーマンス低下なしで複数のアクティブな接続をサポートできます。これはデフォルトでは無効にされます。
IdM の JSON-RPC API のブラウザーが利用できる。
今回の更新で、Identity Management に JSON-RPC API のブラウザーが実装されました。ブラウザーを使って API を表示できます。この機能は実験的な機能であり、API はまだサポートされていないことに注意してください。
新しいパッケージ:ipsilon
ipsilon パッケージは、フェデレーションされたシングルサインオン(SSO)用に Ipsilon アイデンティティープロバイダーサービスを提供します。Ipsilon は認証プロバイダーとアプリケーションまたはユーティリティーをリンクして、SSO を可能にします。これには、Apache ベースのサービスプロバイダーを設定するサーバーおよびユーティリティーが含まれます。
Ipsilon サーバーおよびツールキットは、Apache ベースのアイデンティティープロバイダーを設定するように設計されています。サーバーは、Web アプリケーションにフェデレーションされた SSO を提供するプラグ可能な自己完結型
mod_wsgi
アプリケーションです。
このリリースでは、Ipsilon がテクノロジープレビューとして導入されています。現時点では、実稼働環境用にこのサービスを統合することを検討しないことが推奨されます。