第51章 認証および相互運用性
IdM マスターが RHEL 6 で実行されている場合、RHEL 7.6 への IdM レプリカのインストールが失敗する
pki-core パッケージの最近の更新により、Identity Management (IdM) 認証局 (CA) で特定の暗号がデフォルトで有効ではなくなりました。その結果、RHEL 6 で実行されているマスターのレプリカとして RHEL 7.6 上に統合 CA を備えた IdM サーバーをセットアップする
と、CRITICAL Failed to configure CA instance エラーが発生して失敗します。この問題を回避するには、/etc/httpd/conf.d/nss.conf ファイルの NSSCipherSuite パラメーターの末尾に次のエントリーを追加します。
+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha
その結果、RHEL 7.6 への IdM のインストールは失敗しなくなりました。この回避策を行わなくても、CA なしの IdM レプリカを RHEL 7.6 にインストールすると、期待どおりに動作することに注意してください。(BZ#1667434)
RADIUS プロキシー機能が、FIPS モードで実行されている IdM でも利用できるようになりました
FIPS モードでは、OpenSSL はデフォルトで MD5 ダイジェストアルゴリズムの使用を無効にします。その結果、RADIUS プロトコルでは RADIUS クライアントと RADIUS サーバー間のシークレットを暗号化するために MD5 が必要となるため、FIPS モードで MD5 が使用できないと、RHEL Identity Management (IdM) RADIUS プロキシーサーバーが失敗します。
RADIUS サーバーが IdM マスターと同じホスト上で実行されている場合は、問題を回避して安全な境界内で MD5 を有効にすることができます。
これを行うには、次の内容のファイル/etc/systemd/system/radiusd.service.d/ipa-otp.conf を作成します。
# /etc/systemd/system/radiusd.service.d/ipa-otp.conf [Service] Environment=OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW=1
変更を適用するには、
systemd 設定を再読み込みします。
# systemctl daemon-reload
そして、
radiusd サービスを起動します。
# systemctl start radiusd
RADIUS プロキシーの設定には、クライアントとサーバーとの間の共通のシークレットを使用して認証情報をラップする必要があります。コマンドラインインターフェイス (CLI) または Web UI を使用して、RHEL IdM の RADIUS プロキシーの設定でこのシークレットを指定します。CLI でこれを行うには:
# ipa radiusproxy-add name_of_your_proxy_server --secret your_secret
(BZ#1571754)
ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク
ID ルックアップに TLS を使用せずに
ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。
現在、TLS を強制する SSSD 設定オプション
ldap_id_use_start_tls は、デフォルトで false に設定されています。セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad および id_provider = ipa は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、
/etc/sssd/sssd.conf ファイルで ldap_id_use_start_tls オプションを true に設定して TLS を強制します。デフォルトの動作は、RHEL の将来のリリースで変更される予定です。
(JIRA:RHELPLAN-155168)
