2.4. FIPS コンプライアンス
RHEL 8.3.0 以降では、連邦情報処理規格 (FIPS) 140 モードが有効になっているシステムに、新しい IdM サーバーまたはレプリカをインストールできます。
IdM を FIPS モードでインストールするには、まずホストで FIPS モードを有効にしてから、IdM をインストールします。IdM インストールスクリプトは、FIPS が有効かどうかを検出し、IdM が FIPS 140 標準に準拠する暗号化タイプのみを使用するように設定します。
-
aes256-cts:normal
-
aes256-cts:special
-
aes128-cts:normal
-
aes128-cts:special
-
aes128-sha2:normal
-
aes128-sha2:special
-
aes256-sha2:normal
-
aes256-sha2:special
IdM 環境が FIPS に準拠するには、すべて の IdM レプリカで FIPS モードが有効になっている必要があります。
特にクライアントを IdM レプリカにプロモートする場合、Red Hat では IdM クライアントでも FIPS モードを有効にすることを推奨します。最終的には、管理者が FIPS 要件を満たす方法を判別する必要があります。Red Hat は FIPS 基準を強要しません。
FIPS 準拠の IdM への移行
既存の IdM インストールを非 FIPS 環境から FIPS 準拠のインストールに移行することはできません。これは技術的な問題ではなく、法的および規制上の制限です。
FIPS 準拠のシステムを運用するには、すべての暗号化キー素材を FIPS モードで作成する必要があります。さらに、暗号鍵マテリアルは、安全にラップされ、非 FIPS 環境でラップ解除されない限り、FIPS 環境から決して出てはなりません。
シナリオで FIPS 非準拠の IdM レルムから FIPS 準拠の IdM レルムへの移行が必要な場合は、次のことを行う必要があります。
- FIPS モードで新しい IdM レルムを作成します。
- すべてのキーマテリアルをブロックするフィルターを使用して、非 FIPS レルムから新しい FIPS モードレルムへのデータ移行を実行します。
移行フィルターは以下をブロックする必要があります。
- KDC マスターキー、キータブ、および関連するすべての Kerberos キーマテリアル
- ユーザーパスワード
- CA、サービス、ユーザー証明書を含むすべての証明書
- OTP トークン
- SSH キーと指紋
- DNSSEC KSK および ZSK
- すべての Vault エントリー
- AD 信頼関連のキーマテリアル
事実上、新しい FIPS インストールは別のインストールとなります。厳密なフィルタリングを行ったとしても、このような移行は FIPS 140 認定を通過できない可能性があります。FIPS 監査人がこの移行にフラグを立てる場合があります。
関連情報
- RHEL オペレーティングシステムでの FIPS 140 実装の詳細は、RHEL セキュリティー強化 ドキュメントの 連邦情報処理標準 140 と FIPS モードを 参照してください。