Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第13章 認証および相互運用性
Active Directory に対するアイデンティティ管理のクロスレルム信頼の改善
Red Hat Enterprise Linux の Active Directory 機能へのクロスレルム信頼に、次の改善が実装されました。
- 信頼されたフォレストでは、複数の Active Directory ドメインがサポートされています。
- 信頼されたフォレスト内の個別の Active Directory ドメインに属するユーザーのアクセスは、ドメインレベルごとに選択的に無効化および有効化できます。
- 自動的に割り当てられた識別子の代わりに、信頼できる Active Directory ドメインからのユーザーおよびグループに対して手動で定義された POSIX 識別子を使用できます。
- 信頼されたドメインからの Active Directory ユーザーとグループは、LDAP 互換性ツリーを介してレガシー POSIX システムにエクスポートできます。
- LDAP 互換性ツリーを介してエクスポートされた Active Directory ユーザーの場合、Identity Management LDAP サーバーに対して認証を実行できます。その結果、Identity Management と信頼できる Active Directory ユーザーの両方が、統合された方法でレガシー POSIX システムにアクセスできます。
Active Directory での POSIX ユーザーおよびグループ ID のサポート
Active Directory へのクロスレルム信頼の Identity Management 実装は、Active Directory の既存の POSIX ユーザーおよびグループ ID 属性をサポートします。Active Directory 側で明示的なマッピングが定義されていない場合、ユーザーまたはグループのセキュリティー識別子 (SID) に基づくアルゴリズムマッピングが適用されます。
AD および LDAP の sudo プロバイダーの使用
AD プロバイダーは、Active Directory Server への接続に使用されるバックエンドです。Red Hat Enterprise Linux 7 では、AD sudo プロバイダーを LDAP プロバイダーと一緒に使用することがテクノロジープレビューとしてサポートされています。AD sudo プロバイダーを有効にするには、
sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。
CA レスインストールのサポート
IPA は、HTTP サーバーおよびディレクトリーサーバー用のユーザー提供の SSL 証明書を使用して、認証局を組み込まずにインストールすることをサポートしています。管理者は、サービスとホストの証明書を手動で発行およびローテーションする責任があります。
FreeIPA GUI の改善
Red Hat Enterprise Linux 7 は、FreeIPA グラフィカルインターフェイスに多くの改善をもたらします。そのうちの最も注目すべき点は次のとおりです。
- 適切なボタンまたはダイアログウィンドウにフォーカスがない場合でも、すべてのダイアログウィンドウは Enter キーで確認できます。
- Web UI アセットの圧縮と RPC 通信により、Web UI の読み込みが大幅に高速化されました。
- ドロップダウンリストは、キーボードで制御できます。
削除されたレプリカの ID の回収
削除されたレプリカに属するユーザーおよびグループ ID の範囲は、適切なレプリカが存在する場合、そのレプリカに転送できます。これにより、ID スペースが枯渇する可能性がなくなります。さらに、ID 範囲は ipa-replica-manage ツールを使用して手動で管理できます。
既存のキータブファイルを使用したクライアントの再登録
再作成され、ホストエントリーが無効化または削除されていないホストは、以前にバックアップした
キータブ ファイルを使用して再登録できます。これにより、ユーザーが再構築した後に IPA クライアントシステムを簡単に再登録できます。
DNS のプロンプト
サーバーの対話型インストール中に、ユーザーは DNS コンポーネントをインストールするかどうかを尋ねられます。以前は、
--setup-dns オプションがインストーラーに渡された場合にのみ DNS 機能がインストールされ、ユーザーが機能を認識していませんでした。
強化された SSHFP DNS レコード
Identity Management の DNS サポートは、RFC 6954 標準のサポートによって拡張されました。これにより、ユーザーは楕円曲線デジタル署名アルゴリズム (ECDSA) キーと SHA-256 ハッシュを SSH フィンガープリント (SSHFP) レコードで公開できます。
タイプによるグループのフィルタリング
新しいフラグ
--posix、--nonposix、--external を使用して、グループをタイプ別にフィルタリングできます。
- POSIX グループは、
posixGroupオブジェクトクラスを持つグループです。 - 非 POSIX グループは、POSIX または外部ではないグループです。つまり、グループには
posixGroupまたはipaExternalGroupオブジェクトクラスがありません。 - 外部グループは
ipaExternalGroupクラスを持つグループです。
外部プロビジョニングシステムとの統合の改善
外部プロビジョニングシステムでは、ホストを正しく処理するために追加のデータが必要になることがよくあります。新しい自由形式のテキストフィールド、
class がホストエントリーに追加されました。このフィールドは、自動メンバーシップルールで使用できます。
証明書プロファイルの CRL および OCSP DNS 名
IPA 認証局 (CA) のラウンドロビン DNS 名が、すべてのアクティブな IPA CA マスターを指すようになりました。この名前は、IPA 証明書プロファイルの CRL および OCSP URI に使用されます。IPA CA マスターのいずれかが削除されたり、利用できなくなったりしても、IPA CA によって発行された証明書の失効ステータスを確認する機能には影響しません。
証明書検索
cert-find コマンドは、ユーザーがシリアル番号だけで証明書を検索するように制限しなくなりましたが、次の方法でも検索できるようになりました。
- Serial Number Range
- Subject Name
- 有効期間;
- 失効ステータス;
- そして発行日。
ユーザー鍵の委任のために Kerberos サービスを信頼済みとしてマークする
個々の Identity Management サービスは、委任に対して信頼できるものとして Identity Management ツールにマークできます。
ok_as_delegate フラグを確認することにより、Microsoft Windows クライアントは、ユーザー認証情報を特定のサーバーに転送または委任できるかどうかを判断できます。
Samba 4.1.0
Red Hat Enterprise Linux 7 には、最新のアップストリームバージョンにアップグレードされた samba パッケージが含まれています。これにより、いくつかのバグ修正と機能強化が導入されます。最も注目すべきは、サーバーおよびクライアントツールでの SMB3 プロトコルのサポートです。
さらに、SMB3 トランスポートは、SMB3 をサポートする Windows サーバーおよび Samba サーバーへの暗号化されたトランスポート接続を可能にします。また、Samba 4.1.0 では、サーバー側のコピー操作のサポートが追加されています。最新の Windows リリースなど、サーバー側のコピーサポートを利用するクライアントでは、ファイルコピー操作のパフォーマンスが大幅に向上するはずです。
SMB プロトコル 3.1.1 での Linux カーネル CIFS モジュールの使用は現在実験段階であり、Red Hat が提供するカーネルでは機能を利用できないことに注意してください。
警告
更新された samba パッケージでは、すでに非推奨になっているいくつかの設定オプションが削除されています。最も重要なのは、サーバーロール
security = share および security = server です。また、Web 設定ツール SWAT は完全に削除されました。詳細については、Samba 4.0 および 4.1 のリリースノートを参照してください。
いくつかの
tdb ファイルが更新されていることに注意してください。これは、新しいバージョンの smbd デーモンを開始するとすぐに、すべての tdb ファイルがアップグレードされることを意味します。tdb ファイルのバックアップがない限り、古いバージョンの Samba にダウングレードすることはできません。
これらの変更の詳細については、上記の Samba 4.0 および 4.1 のリリースノートを参照してください。
