9.11. Identity Management
DNSSEC が IdM でテクノロジープレビューとして利用可能
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
HSM サポートがテクノロジープレビューとして利用可能
Hardware Security Module (HSM) のサポートが、テクノロジープレビューとして Identity Management (IdM) で利用できるようになりました。IdM CA および KRA のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間でキーを共有し、レプリカを作成します。HSM は、ほとんどの IPA 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM
- HSM PKCS #11 ライブラリー
- 利用可能なスロット、トークン、トークンのパスワード
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]
LMDB データベースタイプがテクノロジープレビューとして Directory Server で利用可能
Lightning Memory-Mapped Database (LMDB) は、サポート対象外のテクノロジープレビューとして Directory Server で利用できます。
現在、LMDB を使用してインスタンスを移行またはインストールするには、コマンドラインのみを使用できます。
既存のインスタンスを Berkeley Database (BDB) から LMDB に移行するには、nsslapd-backend-implement
パラメーター値を mdb
に設定する dsctl instance_name dblib bdb2mdb
コマンドを使用します。このコマンドでは、古いデータはクリーンアップされないことに注意してください。nsslapd-backend-implement
を bdb
に戻すことで、データベースタイプを元に戻すことができます。詳細は、既存の DS インスタンスでデータベースタイプを BDB から LMDB に移行する を参照してください。
- Important
- 既存のインスタンスを BDB から LMDB に移行する前に、データベースをバックアップしてください。詳細は、Directory Server のバックアップ を参照してください。
LMDB を使用して新しいインスタンスを作成するには、次のいずれかの方法を使用できます。
-
対話型インストーラーで、Choose whether mdb or bdb is used 行に
mdb
を設定します。詳細は、対話型インストーラーを使用したインスタンスの作成 を参照してください。 -
.inf
ファイルの [slapd] セクションでdb_lib = mdb
を設定します。詳細は、Directory Server インスタンスのインストール用の.inf
ファイルの作成 を参照してください。
Directory Server は、次の新しい設定パラメーターを含む cn=mdb,cn=config,cn=ldbm database,cn=plugins,cn=config
エントリーの下に LMDB 設定を保存します。
nsslapd-mdb-max-size
は、データベースの最大サイズをバイト単位で設定します。重要:
nsslapd-mdb-max-size
が、すべての目的のデータを保存するのに十分な大きさであることを確認してください。ただし、データベースファイルはメモリーマップされるため、パラメーターサイズが大きすぎてパフォーマンスに影響を与えないようにする必要があります。-
nsslapd-mdb-max-readers
は、同時に開くことができる読み取り操作の最大数を設定します。Directory Server はこの設定を自動調整します。 -
nsslapd-mdb-max-dbs
は、メモリーマップされたデータベースファイル内に含めることができる名前付きデータベースインスタンスの最大数を設定します。
新しい LMDB 設定に加えて、nsslapd-db-home-directory
データベース設定パラメーターも引き続き使用できます。
混合実装の場合、レプリケーショントポロジーに BDB レプリカと LMDB レプリカを含めることができます。
Jira:RHELDOCS-19061[1]
ACME がテクノロジープレビューとして利用可能
Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。
RHEL では、ACME サービスは Red Hat Certificate System (RHCS) PKI ACME レスポンダーを使用します。RHCS ACME サブシステムは、IdM デプロイメントのすべての認証局 (CA) サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストに対応しません。RHCS は、ACME 証明書を発行する際に acmeIPAServerCert
プロファイルを使用します。発行された証明書の有効期間は 90 日です。ACME サービスの有効化または無効化は、IdM デプロイメント全体に影響します。
ACME は、すべてのサーバーが RHEL 8.4 以降を実行している IdM デプロイメントでのみ有効にすることが推奨されます。以前の RHEL バージョンには ACME サービスが含まれていないため、バージョンが混在するデプロイメントで問題が発生する可能性があります。たとえば、ACME のない CA サーバーは、異なる DNS サブジェクト代替名 (SAN) を使用しているため、クライアント接続が失敗する可能性があります。
現在、RHCS は期限切れの証明書を削除しません。ACME 証明書は 90 日後に期限切れになるため、期限切れの証明書が蓄積され、パフォーマンスに影響を及ぼす可能性があります。
IdM デプロイメント全体で ACME を有効にするには、
ipa-acme-manage enable
コマンドを使用します。# ipa-acme-manage enable The ipa-acme-manage command was successful
IdM デプロイメント全体で ACME を無効にするには、
ipa-acme-manage disable
コマンドを使用します。# ipa-acme-manage disable The ipa-acme-manage command was successful
ACME サービスがインストールされ、有効または無効であるかを確認するには、
ipa-acme-manage status
コマンドを使用します。# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Bugzilla:2084181[1]
IdM 間の移行がテクノロジープレビューとして利用可能
IdM 間の移行は、Identity Management でテクノロジープレビューとして利用できます。新しい ipa-migrate
コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合や、2 つの実稼働サーバー間で IdM データを移行する場合に役立ちます。
Jira:RHELDOCS-18408[1]