第13章 認証および相互運用性

今回の更新で、Identity Management (IdM)に ipa-backup コマンドおよび ipa-restore コマンドが追加されました。これにより、ユーザーは IdM データを手動でバックアップし、ハードウェアに障害が発生した場合に復元できるようになりました。詳細は、ipa-backup(1) および ipa-restore(1) の man ページ、または Linux ドメイン ID、認証、およびポリシーガイド のドキュメントを参照してください。

今回の更新で、ユーザー設定の新しい ID ビュー メカニズムが実装されました。これにより、Active Directory が使用する WinSync 同期ベースのアーキテクチャーからレルム間の信頼に基づくインフラストラクチャーへの Identity Management ユーザーの移行が可能になります。ID ビュー と移行手順の詳細は、Windows Integration Guide のドキュメントを参照してください。

認証セキュリティーを強化する最適な方法の 1 つは、2 つの要素認証(2FA)を必要とすることです。非常に一般的なオプションは、ワンタイムパスワード(OTP)を使用することです。この手法はプロプライエタリースペースで開始しますが、間もなくオープンな標準が発生しました(HOTP: RFC 4226、TOTP: RFC 6238)。Red Hat Enterprise Linux 7.1 の Identity Management には、標準の OTP メカニズムの最初の実装が含まれています。詳細は、System-Level Authentication Guide のドキュメントを参照してください。

cifs-utils ユーティリティーが ID-mapping プロセスを実行する方法を設定するために、SSSD が提供するプラグインインターフェイスが追加されました。これにより、SSSD クライアントは Winbind サービスを実行しているクライアントと同じ機能を持つ CIFS 共有にアクセスできるようになりました。詳細は、Windows Integration Guide のドキュメントを参照してください。

ipa-cacert-manage renew コマンドが Identity Management (IdM)クライアントに追加されました。これにより、IdM 認証局(CA)ファイルを更新できます。これにより、ユーザーは外部 CA が署名した証明書を使用して IdM をスムーズにインストールし、設定できます。この機能の詳細は、ipa-cacert-manage(1) の man ページを参照してください。

Identity Management (IdM)サーバー UI で、特定セクションの読み取りパーミッションを調整できるようになりました。これにより、IdM サーバー管理者は、選択したユーザーにのみ特権コンテンツのアクセシビリティーを制限できます。さらに、IdM サーバーの認証されたユーザーは、デフォルトでそのすべてのコンテンツに対する読み取りパーミッションが付与されなくなりました。この変更により、IdM サーバーデータの全体的なセキュリティーが向上します。

domains= オプションが pam_sss モジュールに追加されました。これにより、/etc/sssd/sssd.conf ファイルの domains= オプションがオーバーライドされます。さらに、今回の更新で、pam_trusted_users オプションが追加されました。これにより、ユーザーは SSSD デーモンが信頼する数値の UID またはユーザー名の一覧、pam_public_domains オプション、および信頼できないユーザーがアクセスできるドメインの一覧を追加できます。上記の追加により、通常のユーザーが指定のアプリケーションにアクセスできますが、システム自体にはログイン権限がありません。この機能の詳細は、Linux ドメイン ID、認証、およびポリシーガイド の ドキュメントを参照してください。

ipa-client-install コマンドは、デフォルトで SSSD を sudo サービスのデータプロバイダーとして設定するようになりました。この動作は、--no-sudo オプションを使用して無効にできます。さらに、Identity Management クライアントインストールの NIS ドメイン名を指定する --nisdomain オプションが追加され、NIS ドメイン名を設定しないように --no_nisdomain オプションが追加されました。このオプションのいずれも使用されていない場合は、代わりに IPA ドメインが使用されます。

AD プロバイダーは、Active Directory サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.1 では、AD sudo プロバイダーを LDAP プロバイダーと共に使用することは、テクノロジープレビューとしてサポートされます。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの domain セクションに sudo_provider=ad 設定を追加します。

32 ビットバージョンの Kerberos 5 Server は配布されなくなり、Red Hat Enterprise Linux 7.1、krb5-server. i686、krb5-server. s390、krb5-server. ppc、krb5-server-ldap. i686、krb5-server-ldap. s390、および krb5-server-ldap. ppc 以降非推奨になりました。Red Hat Enterprise Linux 7 では 32 ビットバージョンの krb5-server を配布する必要はありません。これは、AMD64 および Intel 64 システム(x86_64)、64 ビット IBM Power Systems サーバー(ppc64)、および IBM System z (s390x)のアーキテクチャーでのみサポートされています。

SSSD は、アクセス制御に AD サーバーに保存されている GPO オブジェクトを使用できるようになりました。この機能拡張は Windows クライアントの機能を模倣し、Windows マシンと Unix マシンの両方を処理する単一のアクセス制御ルールセットを使用できるようになりました。実質的に、Windows 管理者は GPO を使用して Linux クライアントへのアクセスを制御できるようになりました。

Apache モジュールのセットがテクノロジープレビューとして Red Hat Enterprise Linux 7.1 に追加されました。外部アプリケーションで Apache モジュールを使用して、簡易認証以外に Identity Management とのより密接な対話を実現できます。