Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.11. Identity Management

IdM デプロイメントにおける DNS over TLS (DoT) がテクノロジープレビューとして利用可能になる

DNS over TLS (DoT) を使用して暗号化された DNS を、Identity Management (IdM) デプロイメントのテクノロジープレビューとして利用できます。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。

この機能を使い始めるには、IdM サーバーとレプリカの ipa-server-encrypted-dns パッケージをインストールし、IdM クライアントの ipa-client-encrypted-dns パッケージをインストールします。管理者は、インストール中に --dns-over-tls オプションを使用して DoT を有効にできます。

IdM は、Unbound をローカルキャッシュリゾルバーとして設定し、BIND を DoT 要求を受信するように設定します。この機能は、コマンドラインインターフェイス (CLI) および IdM の非対話型インストールを通じて利用できます。

DoT を設定するために、IdM サーバー、レプリカ、クライアント、および統合 DNS サービスのインストールユーティリティーに新しいオプションが追加されました。

  • --dot-forwarder は、アップストリーム DoT 対応 DNS サーバーを指定します。
  • --dns-over-tls-key--dns-over-tls-cert は、DoT 証明書を設定します。
  • --dns-policy は、暗号化されていない DNS へのフォールバックを許可するか、厳密な DoT の使用を強制するかのどちらかを行う DNS セキュリティーポリシーを設定します。

デフォルトでは、IdM は、暗号化されていない DNS へのフォールバックを許可する、relaxed DNS ポリシーを使用します。新しい --dns-policy オプションを enforced 設定で使用することで、暗号化のみの通信を強制できます。

また、新しい DoT オプションを指定した ipa-dns-install を使用して統合 DNS サービスを再設定することにより、既存の IdM デプロイメントで DoT を有効にすることもできます。

詳細は、IdM での DoT による DNS の保護 を参照してください。

Jira:RHEL-67913[1]、Jira:RHELDOCS-20059

DNSSEC が IdM でテクノロジープレビューとして利用可能になる

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。

Jira:RHELPLAN-121751[1]

ACME がテクノロジープレビューとして利用可能になる

Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。

RHEL では、ACME サービスは Red Hat Certificate System (RHCS) PKI ACME レスポンダーを使用します。RHCS ACME サブシステムは、IdM デプロイメントのすべての認証局 (CA) サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストに対応しません。RHCS は、ACME 証明書を発行する際に acmeIPAServerCert プロファイルを使用します。発行された証明書の有効期間は 90 日です。ACME サービスの有効化または無効化は、IdM デプロイメント全体に影響します。

重要

ACME は、すべてのサーバーが RHEL 8.4 以降を実行している IdM デプロイメントでのみ有効にすることが推奨されます。以前の RHEL バージョンには ACME サービスが含まれていないため、バージョンが混在するデプロイメントで問題が発生する可能性があります。たとえば、ACME のない CA サーバーは、異なる DNS サブジェクト代替名 (SAN) を使用しているため、クライアント接続が失敗する可能性があります。

警告

現在、RHCS は期限切れの証明書を削除しません。ACME 証明書は 90 日後に期限切れになるため、期限切れの証明書が蓄積され、パフォーマンスに影響を及ぼす可能性があります。

  • IdM デプロイメント全体で ACME を有効にするには、ipa-acme-manage enable コマンドを使用します。 

    # ipa-acme-manage enable
The ipa-acme-manage command was successful
    Copy to Clipboard Toggle word wrap

  • IdM デプロイメント全体で ACME を無効にするには、ipa-acme-manage disable コマンドを使用します。 

    # ipa-acme-manage disable
The ipa-acme-manage command was successful
    Copy to Clipboard Toggle word wrap

  • ACME サービスがインストールされ、有効または無効であるかを確認するには、ipa-acme-manage status コマンドを使用します。 

    # ipa-acme-manage status
ACME is enabled
The ipa-acme-manage command was successful
    Copy to Clipboard Toggle word wrap

Jira:RHELPLAN-121754[1]

IdM 間の移行がテクノロジープレビューとして利用可能になる

IdM 間の移行は、Identity Management でテクノロジープレビューとして利用できます。新しい ipa-migrate コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合や、2 つの実稼働サーバー間で IdM データを移行する場合に役立ちます。

Jira:RHELDOCS-18408[1]

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat