第4章 新機能
本章では、Red Hat Enterprise Linux 7.7 で導入される新機能および主な機能拡張を説明します。
4.1. 認証および相互運用性
SSSD が、AD に保存されている sudo ルールを完全にサポート
SSSD (System Security Services Daemon) が、Active Directory (AD) に保存されている sudo ルールに完全に対応するようになりました。この機能は、Red Hat Enterprise Linux 7.0 でテクノロジープレビューとして最初に導入されました。管理者は、sudo ルールをサポートするように AD スキーマを更新する必要があります。
SSSD が、AD ドメインのフォールバックとして [nss] セクションの fallback_homedir 値を使用しなくなりました。
RHEL 7.7 以前では、Active Directory (AD) プロバイダーの SSSD fallback_homedir パラメーターにはデフォルト値がありませんでした。fallback_homedir が設定されていない場合は、/etc/sssd/sssd.conf ファイルの [nss] セクションにある同じパラメーターの値が SSSD によって使用されていました。セキュリティーを向上させるために、RHEL 7.7 の SSSD では、fallback_homedir のデフォルト値が導入されました。これにより、[nss] に設定された値に戻らなくなりました。AD ドメインの fallback_homedir パラメーターにデフォルトとは異なる値を使用する場合は、ドメインのセクションで手動で設定する必要があります。
(BZ#1740779)
ディレクトリーサーバーがバージョン 1.3.9.1 にリベース
389-ds-base パッケージがアップストリームバージョン 1.3.9.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
Directory Server Auto Membership プラグインが変更操作で追加で起動できるようになりました。
今回の更新で、Directory Server の Auto Membership プラグインが変更操作と連携するように強化されました。以前は、プラグインは ADD 操作によってのみ呼び出されていました。管理者がユーザーエントリーを変更し、そのユーザーが属する Auto Membership グループに影響を与えると、ユーザーは古いグループから削除されず、新しいグループにのみ追加されていました。今回の更新で、この機能強化により、前述のシナリオで Directory Server が古いグループからユーザーを削除するように設定できるようになりました。
新しい動作を有効にするには、cn=Auto Membership Plugin,cn=plugins,cn=config エントリーの autoMemberProcessModifyOps 属性を on に設定します。
(BZ#1438144)
replicaLastUpdateStatusJSON ステータス属性が Directory Server のレプリカ合意に追加されました。
今回の更新で、replicaLastUpdateStatusJSON status 属性が cn=<replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config エントリーに導入されています。replicaLastUpdateStatus 属性に表示されるステータスは、vague および unclear でした。新しい属性は、明確なステータスメッセージと結果コードを提供し、JSON 形式をサポートする他のアプリケーションで解析できます。
IdM は、CA を CRL 生成マスターにプロモートするユーティリティーを提供するようになりました。
今回の機能強化により、管理者は既存の Identity Management (IdM) 認証局(CA) を証明書失効リスト (CRL) 生成マスターにプロモートしたり、CA からこの機能を削除したりできます。以前は、IdM CA を CRL 生成マスターとして設定するには、複数の手動の手順が必要で、この手順はエラーが発生していました。これにより、管理者は ipa-crlgen-manage enable コマンドおよび ipa-crlgen-manage disable コマンドを使用して、IdM CA での CRL 生成を有効または無効にすることができるようになりました。
孤立した automember ルールを検出して削除するコマンドが IdM に追加されました。
Identity Management (IdM) の automember ルールは、削除されたホストグループを参照できます。以前は、ipa automember-rebuild コマンドが予期せず失敗し、障害の理由の診断が困難でした。この機能強化により、ipa automember-find-orphans が IdM に追加され、そのような孤立した automember ルールを識別して削除します。
IdM が証明書の SAN 拡張の IP アドレスに対応
特定の状況では、管理者は Subject Alternative Name (SAN)拡張機能の IP アドレスを使用して証明書を発行する必要があります。今回の更新で、この機能が追加されました。その結果、アドレスが IdM DNS サービスで管理され、サブジェクトのホストまたはサービスプリンシパルに関連付けられている場合に、管理者は SAN 拡張機能に IP アドレスを設定できます。
IdM は、サーバーがオフライン時の期限切れのシステム証明書の更新を行えるようになりました。
この機能強化により、Identity Management (IdM) がオフラインのときでも、管理者は期限が切れたシステムの証明書を更新できます。システム証明書の期限が切れると、IdM が起動できません。新しい ipa-cert-fix コマンドは、新しいプロセスを続行するために日付を手動で設定する回避策に取って代わります。その結果、上述のシナリオのダウンタイムとサポートコストが低減します。
pki-core がバージョン 10.5.16 にリベースされました
pki-core パッケージがアップストリームバージョン 10.5.16 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
証明書システムで、外部 CA 署名用に SKI 拡張を使用して CSR を作成できるようになる
この機能強化により、証明書システムで、外部認証局 (CA) 署名用の SKI (Subject Key Identifier) 拡張子を持つ証明書署名要求 (CSR) の作成に対応します。特定の CA は、特定の値で、または CA 公開鍵から派生したこの拡張を必要とします。これにより、管理者は pkispawn ユーティリティーに渡される設定ファイルの pki_req_ski パラメーターを使用して、SKI 拡張子を持つ CSR を作成できるようになりました。
(BZ#1491453)
Certificate System をアンインストールすると、すべてのログファイルが削除されなくなりました。
以前は、サブシステムをアンインストールすると、Certificate System が対応するすべてのログを削除していました。今回の更新で、デフォルトで pkidestroy ユーティリティーがログを削除しなくなりました。サブシステムのアンインストール時にログを削除するには、新しい --remove-logs パラメーターを pkidestroy に渡します。また、今回の更新で、--force パラメーターが pkidestroy に追加されました。以前は、不完全なインストールにより、一部のファイルおよびディレクトリーが残され、Certificate System インスタンスの完全なアンインストールが妨げられていました。--force を pkidestroy に渡して、サブシステムとインスタンスの対応するファイルをすべて完全に削除します。
pkispawn ユーティリティーは、CA、KRA、および OCSP のインストール時に NSS データベースで作成された鍵の使用をサポートするようになりました。
以前は、Certificate System のインストール時に、pkispawn ユーティリティーは、システム証明書の新しいキーの作成と既存のキーのインポートのみをサポートしていました。今回の機能強化により、pkispawn は、認証局 (CA)、鍵回復機関 (KRA)、およびオンライン証明書ステータスプロトコル (OCSP) のインストール時に管理者が NSS データベースに直接生成するキーの使用をサポートするようになりました。
Certificate System は、サービスを再インストールする際に以前のインストールのログを保持するようになりました。
以前は、既存の Certificate System ログディレクトリー構造を持つサーバーに Certificate System サブシステムをインストールすると、pkispawn ユーティリティーは名前の競合エラーを報告していました。この機能強化により、Certificate System は既存のログディレクトリー構造を再利用して、以前のインストールのログを保存します。
Certificate System がデフォルトで追加の強力な暗号に対応するようになりました。
今回の更新で、Certificate System では、連邦情報処理標準 (FIPS) に準拠する以下の追加の暗号がデフォルトで有効になっています。
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_GCM_SHA384
有効な暗号の完全なリストについては、次のように入力します。
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
Certificate System で Hardware Security Module (HSM)を使用する場合は、対応している暗号の HSM のドキュメントを参照してください。
samba パッケージがバージョン 4.9.1 になりました。
samba パッケージがアップストリームバージョン 4.9.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
-
Clustered Trivial Database (CTDB) 設定が完全に変更になりました。管理者は、Samba 設定と同様の形式で、
ctdbサービスおよび対応するユーティリティーのパラメーターを/etc/ctdb/ctdb.confファイルに指定する必要があります。詳細は、ctdb.conf (5)man ページを参照してください。/usr/share/doc/ctdb/examples/config_migrate.shスクリプトを使用して、現在の設定を移行します。 /etc/samba/smb.confファイルの以下のパラメーターのデフォルト値が以下のように変更されました。-
map readonly:no -
store dos attributes:yes -
ea support:yes -
full_audit:success: 未設定 -
full_audit:failure: 未設定
-
-
Active Directory (AD)で Windows Service Principal Names (SPN) を管理するための
net ads setspnコマンドが追加されました。このコマンドは、Windows のsetspn.exeユーティリティーと同じ基本機能を提供します。たとえば、管理者はこれを使用して、AD コンピューターオブジェクトに保存されている Windows SPN を追加、削除、および一覧表示できます。 -
net ads keytab addコマンドは、コマンドに渡されるサービスクラスを Windows SPN に変換しようとしなくなりました。これは、AD コンピューターオブジェクトに追加されます。デフォルトで、コマンドは keytab ファイルのみを更新するようになりました。以前の動作を維持するために、新しいnet ads add_update_adsコマンドが追加されました。ただし、管理者は代わりに新しいnet ads setspn addコマンドを使用する必要があります。
Samba は、"smbd" デーモン、"nmbd" デーモン、または "winbind" デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノート https://www.samba.org/samba/history/samba-4.9.0.html を参照してください。
