1.3. IdM のカスタム設定要件
DNS、Kerberos、Apache、Directory Server などのサービスのカスタム設定を行わずに、クリーンなシステムに Identity Managementt (IdM) をインストールします。
IdM サーバーのインストールは、システムファイルを上書きして、IdM ドメインを設定します。IdM は、元のシステムファイルを /var/lib/ipa/sysrestore/ にバックアップします。ライフサイクルの最後に Identity Management サーバーをアンインストールすると、このファイルが復元します。
1.3.1. IdM における IPv6 要件
IdM システムでは、カーネル内で IPv6 プロトコルが有効になっている必要があります。IPv6 が無効になっていると、IdM サービスが使用する CLDAP プラグインが初期化に失敗します。
ネットワーク上で IPv6 を有効にする必要はありません。
1.3.2. IdM における暗号化タイプのサポート
Red Hat Enterprise Linux (RHEL) は、Advanced Encryption Standard (AES)、Camel、Data Encryption Standard (DES) などの暗号化タイプをサポートする Kerberos プロトコルのバージョン 5 を使用します。
サポート対象の暗号化タイプのリスト
IdM サーバーおよびクライアントの Kerberos ライブラリーは、より多くの暗号化タイプに対応している可能性がありますが、IdM Kerberos Distribution Center (KDC) は以下の暗号化タイプのみに対応します。
-
aes256-cts:normal -
aes256-cts:special(デフォルト) -
aes128-cts:normal -
aes128-cts:special(デフォルト) -
aes128-sha2:normal -
aes128-sha2:special -
aes256-sha2:normal -
aes256-sha2:special -
camellia128-cts-cmac:normal -
camellia128-cts-cmac:special -
camellia256-cts-cmac:normal -
camellia256-cts-cmac:special
RC4 暗号化タイプがデフォルトで無効
以下の RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、RHEL 9 ではデフォルトで無効にされています。
-
arcfour-hmac:normal -
arcfour-hmac:special
以前の Active Directory 環境と互換性を確保するために RC4 サポートを手動で有効にする方法については、AD および RHEL で一般的な暗号化タイプに対応 を参照してください。
DES および 3DES 暗号化のサポートが削除される
セキュリティー上の理由から、DES アルゴリズムへの対応は RHEL 7 では非推奨となりました。single-DES (DES) および triple-DES (3DES) の暗号化タイプは RHEL 8 から廃止され、RHEL 9 では使用されません。
1.3.3. IdM でのシステム全体の暗号化ポリシーへの対応
IdM は、DEFAULT システム全体の暗号化ポリシーを使用します。このポリシーは、現在の脅威モデルに安全な設定を提供します。TLS プロトコルの 1.2 と 1.3、IKEv2 プロトコル、および SSH2 プロトコルが使用できます。RSA 鍵と Diffie-Hellman パラメーターは長さが 2048 ビット以上であれば許容されます。このポリシーでは、DES、3DES、RC4、DSA、TLS v1.0、およびその他の弱いアルゴリズムを使用できません。
FUTURE システム全体の暗号化ポリシーの使用中は、IdM サーバーをインストールできません。IdM サーバーをインストールする場合は、DEFAULT システム全体の暗号化ポリシーを使用していることを確認してください。
関連情報
1.3.4. FIPS コンプライアンス
連邦情報処理規格 (FIPS) モードが有効になっているシステムに、新しい IdM サーバーまたはレプリカをインストールできます。唯一の例外は、FIPS:OSPP 暗号化サブポリシーが有効になっているシステムです。
FIPS モードで IdM をインストールするには、ホストで FIPS モードを有効にしてから、IdM をインストールします。IdM インストールスクリプトは、FIPS が有効かどうかを検出し、IdM が FIPS 140-3 に準拠する暗号化タイプのみを使用するように設定します。
-
aes128-sha2:normal -
aes128-sha2:special -
aes256-sha2:normal -
aes256-sha2:special
IdM 環境が FIPS に準拠するには、すべて の IdM レプリカで FIPS モードが有効になっている必要があります。
特にクライアントを IdM レプリカにプロモートする場合、Red Hat では IdM クライアントでも FIPS を有効にすることを推奨します。最終的には、管理者が FIPS 要件を満たす方法を判別する必要があります。Red Hat は FIPS 基準を強要しません。
FIPS 準拠の IdM への移行
既存の IdM インストールを非 FIPS 環境から FIPS 準拠のインストールに移行することはできません。これは技術的な問題ではなく、法的および規制上の制限です。
FIPS 準拠のシステムを運用するには、すべての暗号化キー素材を FIPS モードで作成する必要があります。さらに、暗号鍵マテリアルは、安全にラップされ、非 FIPS 環境でラップ解除されない限り、FIPS 環境から決して出てはなりません。
シナリオで FIPS 非準拠の IdM レルムから FIPS 準拠の IdM レルムへの移行が必要な場合は、次のことを行う必要があります。
- FIPS モードで新しい IdM レルムを作成します。
- すべてのキーマテリアルをブロックするフィルターを使用して、非 FIPS レルムから新しい FIPS モードレルムへのデータ移行を実行します。
移行フィルターは以下をブロックする必要があります。
- KDC マスターキー、キータブ、および関連するすべての Kerberos キーマテリアル
- ユーザーパスワード
- CA、サービス、ユーザー証明書を含むすべての証明書
- OTP トークン
- SSH キーと指紋
- DNSSEC KSK および ZSK
- すべての Vault エントリー
- AD 信頼関連のキーマテリアル
事実上、新しい FIPS インストールは別のインストールとなります。厳密なフィルタリングを行ったとしても、このような移行は FIPS 140 認定を通過できない可能性があります。FIPS 監査人がこの移行にフラグを立てる場合があります。
FIPS モードが有効なフォレスト間の信頼のサポート
FIPS モードが有効な場合に Active Directory (AD) ドメインでフォレスト間の信頼を確立するには、AD 管理アカウントで認証する必要があります。FIPS モードが有効な場合には、共有シークレットを使用して信頼を確立することはできません。
RADIUS 認証は FIPS に準拠していません。RADIUS 認証が必要な場合は、FIPS モードが有効な状態で IdM をインストールしないでください。
関連情報
- RHEL オペレーティングシステムの FIPS モードを有効にするには、セキュリティーの強化ガイドの FIPS モードへのシステムの切り替え を参照してください。
- FIPS 140-2 の詳細は、National Institute of Standards and Technology (NIST) の Web サイトの Security Requirements for Cryptographic Modules を参照してください。
