9.11. Identity Management

DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。

Bugzilla:2084180

IdM は、HSM のネットワーク機能を利用してマシン間でキーを共有し、レプリカを作成します。HSM は、ほとんどの IPA 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。

以下が必要です。

HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

Jira:RHELDOCS-17465^[1]

現在、LMDB を使用してインスタンスを移行またはインストールするには、コマンドラインのみを使用できます。

既存のインスタンスを Berkeley Database (BDB) から LMDB に移行するには、nsslapd-backend-implement パラメーター値を mdb に設定する dsctl instance_name dblib bdb2mdb コマンドを使用します。このコマンドでは、古いデータはクリーンアップされないことに注意してください。nsslapd-backend-implement を bdb に戻すことで、データベースタイプを元に戻すことができます。詳細は、既存の DS インスタンスでデータベースタイプを BDB から LMDB に移行する を参照してください。

LMDB を使用して新しいインスタンスを作成するには、次のいずれかの方法を使用できます。

Directory Server は、次の新しい設定パラメーターを含む cn=mdb,cn=config,cn=ldbm database,cn=plugins,cn=config エントリーの下に LMDB 設定を保存します。

新しい LMDB 設定に加えて、nsslapd-db-home-directory データベース設定パラメーターも引き続き使用できます。

混合実装の場合、レプリケーショントポロジーに BDB レプリカと LMDB レプリカを含めることができます。

Jira:RHELDOCS-19061^[1]

この機能強化により、ACME は指定された間隔で期限切れの証明書を自動的に削除できるようになりました。

期限切れの証明書の削除はデフォルトでは無効になっています。有効にするには、次のように入力します。

ipa-acme-manage pruning --enable --cron "0 0 1 * *"

# ipa-acme-manage pruning --enable --cron "0 0 1 * *"

これにより、期限切れの証明書が毎月 1 日の午前 0 時に削除されます。

詳細は、ipa-acme-manage(1) man ページを参照してください。

Jira:RHELPLAN-145900

Jira:RHELDOCS-18408^[1]