第37章 認証および相互運用性
コンテナーの SSSD が利用可能になりました。
コンテナーの System Security Services Daemon (SSSD)はテクノロジープレビューとして提供され、Red Hat Enterprise Linux Atomic Host 認証サブシステムを Red Hat Identity Management や Microsoft Active Directory などの中央アイデンティティープロバイダーに接続できるようにします。
この新規イメージをインストールするには、atomic install rhel7/sssd コマンドを使用します。(BZ#1200143)
AD および LDAP の sudo プロバイダーの使用
AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしてサポートされます。AD sudo プロバイダーを有効にするには、
sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。(BZ#1068725)
DNSSEC が Identity Management でテクノロジープレビューとして利用可能に
統合 DNS を使用する Identity Management サーバーが、DNS プロトコルのセキュリティーを強化する DNS Security Extensions (DNSSEC)に対応するようになりました。Identity Management サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
- DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
- Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC Key Rollover Timing Considerations:
統合 DNS のある Identity Management サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 応答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。(BZ#1115294)
Directory Server で利用可能な Nunc Stans イベントフレームワーク
複数の同時接続を処理するための新しい Nunc Stans イベントフレームワークがテクノロジープレビューとして追加されました。フレームワークにより、パフォーマンス低下なしで複数のアクティブな接続をサポートできます。これはデフォルトでは無効にされます。(BZ#1206301)
サービスとしてのシークレットへのサポート
今回の更新で、レスポンダー
シークレット がテクノロジープレビューとして System Security Services Daemon (SSSD)に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できます。これにより、SSSD はローカルデータベースに秘密を保存したり、リモートの Custodia サーバーに転送したりできます。(BZ#1311056)
IdM Web UI により、スマートカードログインが有効になります。
Identity Management (IdM) Web UI を使用すると、ユーザーはスマートカードを使用してログインできます。この機能は実験的なものであり、サポートされていないことに注意してください。(BZ#1317379, BZ#1346883, BZ#1343422)
Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。
Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。
Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。
- 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
- サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。
API の使用方法は、https://access.redhat.com/articles/2728021 (BZ#1298286) 参照してください。
