7.11. Identity Management
DNSSEC が IdM でテクノロジープレビューとして利用可能
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
HSM サポートはテクノロジープレビューとして利用可能
ハードウェアセキュリティーモジュール (HSM) のサポートが、テクノロジープレビューとして Identity Management (IdM) で利用できるようになりました。IdM CA および KRA のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間でキーを共有し、レプリカを作成します。HSM は、ほとんどの IPA 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーは異なる方法で処理されますが、ほとんどのユーザーにとってこれはシームレスです。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
次のものが必要です:
- サポートされている HSM
- HSM PKCS #11 ライブラリー
- 利用可能なスロット、トークン、トークンのパスワード
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]
LMDB データベースタイプは、Directory Server でテクノロジープレビューとして利用できます。
Lightning Memory-Mapped Database (LMDB) は、サポートされていないテクノロジープレビューとして Directory Server で利用できます。
現在、LMDB を使用してインスタンスを移行またはインストールするには、コマンドラインのみを使用できます。
既存のインスタンスを Berkeley Database (BDB) から LMDB に移行するには、nsslapd-backend-implement パラメーター値を mdb に設定する dsctl instance_name dblib bdb2mdb コマンドを使用します。このコマンドでは古いデータはクリーンアップされないことに注意してください。nsslapd-backend-implement をbdb に戻すことで、データベースタイプを元に戻すことができます。
- Important
- 既存のインスタンスを BDB から LMDB に移行する前に、データベースをバックアップしてください。詳細は、Directory Server のバックアップを 参照してください。
LMDB を使用して新しいインスタンスを作成するには、次のいずれかの方法を使用できます。
-
対話型インストーラーで、mdb または bdb のどちらを使用するかを選択する 行に
mdb を設定します。詳細は、対話型インストーラーを使用したインスタンスの作成 を参照してください。 -
.infファイルの [slapd] セクションでdb_lib = mdbを設定します。詳細は、Directory Server インスタンスのインストール用の.infファイルの作成を 参照してください。
Directory Server は、次の新しい設定パラメーターを含む cn=mdb,cn=config,cn=ldbm database,cn=plugins,cn=config エントリーの下に LMDB 設定を保存します。
nsslapd-mdb-max-size は、データベースの最大サイズをバイト単位で設定します。重要:
nsslapd-mdb-max-size が、すべての目的のデータを保存するのに十分な大きさであることを確認してください。ただし、データベースファイルはメモリーマップされるため、パラメーターサイズが大きすぎてパフォーマンスに影響を与えないようにする必要があります。-
nsslapd-mdb-max-readers は、同時に開くことができる読み取り操作の最大数を設定します。Directory Server はこの設定を自動調整します。 -
nsslapd-mdb-max-dbs は、メモリーマップされたデータベースファイル内に含めることができる名前付きデータベースインスタンスの最大数を設定します。
新しい LMDB 設定に加えて、nsslapd-db-home-directory データベース設定パラメーターを引き続き使用できます。
混合実装の場合、レプリケーショントポロジーに BDB レプリカと LMDB レプリカを含めることができます。
Jira:RHELDOCS-19061[1]
ACME がテクノロジープレビューとして利用可能
Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。
RHEL では、ACME サービスは Red Hat Certificate System (RHCS) PKI ACME レスポンダーを使用します。RHCS ACME サブシステムは、IdM デプロイメントのすべての認証局 (CA) サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストに対応しません。RHCS は、ACME 証明書を発行する際に acmeIPAServerCert プロファイルを使用します。発行された証明書の有効期間は 90 日です。ACME サービスの有効化または無効化は、IdM デプロイメント全体に影響します。
ACME は、すべてのサーバーが RHEL 8.4 以降を実行している IdM デプロイメントでのみ有効にすることが推奨されます。以前の RHEL バージョンには ACME サービスが含まれていないため、バージョンが混在するデプロイメントで問題が発生する可能性があります。たとえば、ACME のない CA サーバーは、異なる DNS サブジェクト代替名 (SAN) を使用しているため、クライアント接続が失敗する可能性があります。
現在、RHCS は期限切れの証明書を削除しません。ACME 証明書は 90 日後に期限切れになるため、期限切れの証明書が蓄積され、パフォーマンスに影響を及ぼす可能性があります。
IdM デプロイメント全体で ACME を有効にするには、
ipa-acme-manage enableコマンドを使用します。# ipa-acme-manage enable The ipa-acme-manage command was successful
IdM デプロイメント全体で ACME を無効にするには、
ipa-acme-manage disableコマンドを使用します。# ipa-acme-manage disable The ipa-acme-manage command was successful
ACME サービスがインストールされ、有効または無効であるかを確認するには、
ipa-acme-manage statusコマンドを使用します。# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Bugzilla:2084181[1]
IdM から IdM への移行がテクノロジープレビューとして利用可能に
IdM から IdM への移行は、テクノロジープレビューとして Identity Management で利用できます。新しい ipa-migrate コマンドを使用して、SUDO ルール、HBAC 範囲、ホスト、サービスなど、IdM 固有のデータをすべて別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合や、2 つの本番サーバー間で IdM データを移行する場合に役立ちます。
Jira:RHELDOCS-18408[1]
