第5章 認証および相互運用性
Windows Server 2016 のフォレストとドメインの機能レベルが信頼でサポートされるようになりました
Identity Management を使用する場合、Windows Server 2016 のフォレストおよびドメインの機能レベルで実行される Active Directory フォレストに対して、サポートされているフォレストの信頼を確立できるようになりました。(BZ#1484683)
Directory Server は検索結果にレプリケーション競合エントリーを表示しなくなりました
以前は、レプリケーション競合エントリーがレプリケーショントポロジーに存在する場合、Directory Server はデフォルトで検索結果の一部としてそれらを返しました。その結果、サーバーがそのようなエントリーを返した場合、特定の LDAP クライアントは正しく動作しませんでした。この更新により、サーバーは検索で競合エントリーを返さなくなり、明示的に競合エントリーを要求する必要があります。その結果、クライアントは期待どおりに動作します。
さらに、この更新により、より複雑な競合シナリオの解決が向上します。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/11/html/administration_guide/managing_replication-solve_common_replication_conflicts を参照してください。(BZ#1274430)
OpenLDAP は NSS ではなく OpenSSL でコンパイルされるようになりました
以前は、OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装を使用していました。この更新により、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) 内の既存の証明書は、自動的に PEM 形式に展開され、OpenSSL に渡されます。
NSS DB は引き続きサポートされることに注意してください。ただし、PEM ファイルなどの OpenSSL に似た設定は、NSS DB などの NSS に似た設定よりも優先されます。(BZ#1400578)
samba がバージョン 4.7.1 にリベースされました。
samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- 以前は、rpc server dynamic port range パラメーターの既定値は 1024-1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新します。
- Samba は、Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 の署名および暗号化操作を高速化するようになりました。
- ntlm auth パラメーターのオプションが拡張されました。このパラメーターは、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および disabled オプションを受け入れるようになりました。さらに、デフォルト値の名前が no から ntlmv2-only に変更されました。
- smbclient ユーティリティーでは、サーバーに接続するときにドメイン、オペレーティングシステム、サーバーのバージョンを示すバナーが表示されなくなりました。
- クライアント最大プロトコル パラメーターのデフォルト値が SMB3_11 に変更されました。これにより、smbclient などのユーティリティーは、プロトコルバージョンを設定せずに SMB 3.11 プロトコルを使用してサーバーに接続できるようになります。
- 相互運用性を向上させるため、Samba は
CTDB
クラスター内でのマイナーバージョンの混在の使用をサポートしなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。
SSSD LDAP プロバイダーは、ユーザーのユーザープライベートグループを自動的に作成できるようになりました。
System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合、ユーザーグループを各ユーザーに割り当てる必要があります。以前は、管理者は各ユーザーのグループを手動で作成する必要がありました。この更新により、SSSD はユーザーエントリーからユーザープライベートグループを自動的に生成し、UID と GID が一致することを確認します。この機能を有効にするには、
/etc/sssd/sssd.conf
ファイルの LDAP プロバイダーセクションで auto_private_groups オプションを有効にします。(BZ#1327705)
AD ドメインに登録された SSSD は、最初の接続が成功した後に検出された AD サイトを記憶します
以前は、システムセキュリティーサービスデーモン (SSSD) は、クライアントの AD サイトを特定するために、任意の Active Directory (AD) ドメインコントローラー (DC) に LDAP ping を送信していました。接続された DC に到達できない場合は、タイムアウトが発生し、接続が数秒遅れました。今回の更新により、SSSD は最初に成功した検出後にクライアントのサイトを記憶します。後続のすべての LDAP ping はクライアントのサイトから DC 上で実行されるため、要求の高速化に役立ちます。(BZ#1400614)
SSSD はステータスの変化を syslog に記録します
以前は、System Security Services Daemon (SSSD) は、オンラインまたはオフラインのステータスの変更に関する情報を SSSD ログにのみ記録していました。この更新により、SSSD ステータスの変更が syslog サービスにも記録されるため、システム管理者による情報の可用性が向上します。(BZ#1416150)
SSSD のパフォーマンスが向上しました
この更新では、System Security Services Daemon (SSSD) のパフォーマンス関連の機能強化がいくつか提供されます。以下に例を示します。
- 欠落していたいくつかのインデックスが SSSD キャッシュに追加され、キャッシュされたオブジェクトの検索が高速化されました。
- ユーザーとグループの保存方法を変更することにより、キャッシュに多数のキャッシュされたオブジェクトが設定された後に発生する SSSD キャッシュのパフォーマンスの低下が防止されます。
その結果、SSSD はユーザーおよびグループオブジェクト、特に大規模なグループをより高速に読み取ります。また、キャッシュサイズやキャッシュオブジェクトの数が増加した場合でも、SSSD キャッシュのパフォーマンスが安定した状態を維持できるようになりました。(BZ#1472255, BZ#1482555)
pwdhash
ユーティリティーは、設定ディレクトリーからストレージスキームを取得できるようになりました。
以前は、設定ディレクトリーへのパスを
pwdhash
に渡すと、ユーティリティーはディレクトリーサーバーのデフォルトのストレージスキームを使用してパスワードを暗号化していました。この更新により、/etc/dirsrv/slapd- instance_name/dse.ldif
ファイルに対する読み取り権限を持つユーザーとして pwdhash
を実行する場合、pwdhash
ユーティリティーは、cn=config エントリーの nsslapd-rootpwstoragescheme 属性で設定されたストレージスキームを使用します。その結果、Directory Server のデフォルトと異なる場合でも、前述のシナリオでストレージスキームを指定する必要がなくなりました。(BZ#1467777)
2 つの Directory Server インスタンスを比較する新しいユーティリティー
この更新により、
ds-replcheck
ユーティリティーが Directory Server に追加されます。このユーティリティーは、オンラインモードでは 2 つのサーバーのデータを比較し、オフラインモードでは 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server のレプリケーションの整合性を検証できるようになりました。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/10/html/administration_guide/comparing_two_directory_server_databases を参照してください。(BZ#1406351)
Directory Server は、読み取り専用レプリカでの memberOf
プラグインの有効化をサポートするようになりました。
以前に読み取り専用のディレクトリーサーバーレプリカサーバー上で
memberOf
プラグインを有効にした場合、プラグインはメンバーエントリーを更新できませんでした。レプリケーショントポロジーでプラグインを使用するには、書き込み可能なサーバーでのみプラグインを有効にし、memberOf
属性を読み取り専用レプリカにレプリケートする必要があります。この更新により、すべてのサーバーでプラグインを有効にすることもできるようになりました。その結果、読み取り専用サーバーでも書き込み可能なサーバーと同じようにプラグインを使用できます。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/10/html/administration_guide/advanced_entry_management#considerations_when_using_the_memberof_plug-in を参照してください。(BZ#1352121)
Directory Server がバージョン 1.3.7.5 にリベース
389-ds-base パッケージがアップストリームバージョン 1.3.7.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。
ディレクトリーサーバーは追加のパスワード保存スキームをサポートします
互換性上の理由から、この更新では、次の脆弱なパスワード保存スキームのサポートがディレクトリーサーバーに追加されます。
- CRYPT-MD5
- CRYPT-SHA256
- CRYPT-SHA512
セキュリティー上の理由から、これらの脆弱なストレージスキーマは既存のインストールに対して一時的にのみ使用し、強力なパスワードストレージスキーマへの移行を検討してください。(BZ#1479012)
ディレクトリーサーバーは、ワーカースレッドごとに個別の正規化された DN キャッシュを使用するようになりました。
以前は、複数のワーカースレッドが単一の正規化された識別名 (DN) キャッシュを使用していました。その結果、複数のクライアントがディレクトリーサーバー上で操作を実行すると、パフォーマンスが低下しました。今回の更新により、ディレクトリーサーバーはワーカースレッドごとに個別の正規化された DN キャッシュを作成するようになりました。その結果、前述のシナリオでパフォーマンスが低下することはなくなりました。(BZ#1458536)
pki-core
がバージョン 10.5.1 にリベースされました
pki-core
パッケージがアップストリームバージョン 10.5.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、この更新では、Common Criteria Protection Profile for Certification Authorities Version 2.1 の要件に対応しています。(BZ#1473452)
Certificate System は、CMC を使用した CA、KRA、および OCSP サブシステムのインストールをサポートします
この機能拡張により、CMS (CMC) を介した証明書管理を使用して CA、KRA、または OCSP サブシステムをインストールするメカニズムが提供されます。インストールは 2 つの手順で行われます。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) が生成されます。CSR は、CMC を使用してシステム証明書を発行するために使用できます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)
Certificate System は、別のユーザーとして実行されるインスタンスの作成をサポートします
以前は、Certificate System はサービスを開始するために /usr/lib/systemd/system/ ディレクトリーの systemd ユニットファイルのみを使用していました。したがって、pkiuser として別のユーザーまたはグループとして実行するサーバーを作成することはできませんでした。pkispawn ユーティリティーが更新されました。pkispawn に渡された設定ファイルに別のユーザーまたはグループが含まれている場合、ユーティリティーはカスタマイズされた値を含むオーバーライドファイルを /etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルに作成します。その結果、Certificate System ユーザーをデフォルトとして別のユーザーまたはグループで実行することが可能になります。(BZ#1523410)
Certificate System は、PBKDF2 鍵導出による PBES2 を使用して PKCS #12 ファイルを作成できるようになりました
この更新により、Certificate System が強化され、トークンベースの鍵回復が無効になっている場合に、鍵回復機関 (KRA) から回復された秘密鍵の AES 暗号化のサポートが追加されます。具体的には、AES 暗号化が有効な場合、回復された鍵を含むエクスポートされた PKCS #12 ファイルは、パスワードベースの鍵導出関数 2 (PBKDF2) 鍵導出と AES 128 暗号化を備えた PKCS #5 バージョン 2.0 パスワードベース暗号化仕様バージョン 2 (PBES2) を使用します。PBKDF2 とともに PBES2 を使用すると、Certificate System によって作成されたファイルの安全性が高まります。(BZ#1446786)
Certificate System CA は、以前に発行された署名証明書によって署名された CMC 更新リクエストを処理できるようになりました
この更新により、認証局 (CA) は、以前に発行された署名証明書によって署名された CMS (CMC) による証明書管理の更新要求を処理できるようになります。この実装では、UniqueKeyConstraint 拡張プロファイル制約を備えた caFullCMCUserSignedCert が使用されます。この制約も、失効した証明書によって共有される鍵の更新を禁止するように更新されています。さらに、リクエスト内で同じ鍵を共有する最新の証明書の origNotAfter 属性を保持するため、この属性を RenewGracePeriodConstraint で使用できるようになります。既存の origNotAfter 属性が存在する場合、シリアルフローによる既存の更新 を妨げないように、このプロセスでは上書きされません。さらに、caFullCMCUserSignedCert.cfg プロファイルが更新され、UniqueKeyConstraint と RenewGracePeriodConstraint の 両方が含まれるようになりました。これらは正しい順序で配置する必要があります。デフォルトでは、allowSameKeyRenewal パラメーターは UniqueKeyConstraint で true に設定されていることに注意してください。(BZ#1419761)
Certificate System は Mozilla NSS セキュア乱数ジェネレーターを使用するようになりました
この更新により、Certificate System は Mozilla Network Security Services (NSS) によって提供される安全な乱数ジェネレーターを使用します。これにより、Red Hat Certificate System は、Federal Information Processing Standard (FIPS) 標準の要求に従って、Deterministic Random Bit Generator (DRBG) を Red Hat Enterprise Linux と同期できるようになります。(BZ#1452347)
Certificate System のイベント変更を監査する
Certificate System でより簡潔な監査ログを提供するために、デフォルトで有効になる監査イベントのリストが更新されました。さらに、特定のイベントが統合されるか、その名前が変更されました。
Red Hat Certificate System の監査イベントの完全なリスト (デフォルトで有効になっているサブシステムの情報を含む) については、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/audit_events を参照してください。(BZ#1445532)
krb5 には kdcpolicy
インターフェイスが含まれるようになりました
この更新では、
kdcpolicy
として知られる Kerberos キー配布センター (KDC) ポリシーインターフェイスが krb5 パッケージに導入されます。kdcpolicy
を使用すると、管理者は krb5 にプラグインを提供できます。これにより、チケットの有効期間を制御し、サービスチケットの発行をよりきめ細かく制御できるようになります。
詳細は、MIT Kerberos ドキュメント次のを参照してください。https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html。(BZ#1462982)
Certificate System は、SKI 拡張の設定可能なハッシュアルゴリズムをサポートするようになりました
以前は、Certificate System は、サブジェクトキー識別子 (SKI) 証明書拡張機能を生成するときに SHA1 ハッシュアルゴリズムのみをサポートしていました。この更新により、管理者は証明書プロファイルで SKI 拡張のハッシュアルゴリズムを設定できるようになりました。
次のアルゴリズムが利用できるようになりました。
- SHA1
- SHA256
- SHA384
- SHA512
デフォルトのアルゴリズムは依然として SHA1 であることに注意してください。したがって、既存のプロファイルは自動的に更新されません。(BZ#1024558)
pki コマンドラインインターフェイスは、デフォルトの NSS データベースを自動的に作成します
pki コマンドラインインターフェイスでは、ユーザー名とパスワードを使用した基本認証を含む、SSL 接続経由で操作を実行するために、ネットワークセキュリティーサービス (NSS) データベースとそのパスワードが必要です。以前は、データベースが存在しないか、データベースのパスワードが指定されていない場合、pki はエラーを表示しました。コマンドラインインターフェイスが更新され、パスワードなしでデフォルトの NSS データベースが
~/.dogtag/nssdb/
ディレクトリーに自動的に作成されるようになりました。その結果、NSS データベースやパスワードを指定せずに SSL 経由の操作を実行できます。(BZ#1400645)
Certificate System がデフォルトで脆弱な 3DES 暗号を無効にします
デフォルトでは、Certificate System は脆弱な Triple Data Encryption Standard (3DES) に基づく暗号を無効にするようになりました。これにより、システムのセキュリティーが向上します。ただし、管理者は必要に応じてこれらの暗号を再度有効にすることができます。詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/cconfiguring-ciphers を参照してください。
その結果、新しい Certificate System のインストールでは、デフォルトで強力な暗号のみが有効になります。(BZ#1469169)
Certificate System CA サブシステムの OCSP プロバイダーには、応答に nextUpdate フィールドが含まれるようになりました
認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定されている場合、CA サブシステムのオンライン証明書ステータスプロトコル (OCSP) レスポンダーには、OCSP 応答に nextUpdate フィールドが含まれるようになりました。その結果、このようなシナリオでは、Lightweight OCSP Profile (RFC 5019) に準拠するクライアントが OCSP 応答を処理できるようになりました。(BZ#1523443)
ding-libs がバージョン 0.6.1 にリベースされました
ding-libs パッケージはバージョン 0.6.1 にアップグレードされました。最も注目すべき変更は、値の文字数に対するハードコードされた制限が削除され、使用可能なメモリー量のみが制限になったため、ding-libs がより大きな値を処理できるようになったということです。(BZ#1480270)