第3章 認証および相互運用性

Identity Management がデフォルトで一方向の信頼性を設定

ipa trust-add コマンドがデフォルトで一方向の信頼性を設定するようになりました。一方向の信頼性を使用することで、アクティブディレクトリー (AD) 内のユーザーとグループは Identity Management (IdM) のリソースにアクセスできるようになりますが、その反対のアクセスはできません。これまでは、ipa trust-add の実行によるデフォルトの信頼性の設定は、双方向のものでした。
IdM では、管理者は --two-way=true オプションを ipa trust-add に追加することで双方向の信頼性を設定できます。

openldap がバージョン 2.4.40 にリベース

openldap パッケージがアップストリームのバージョン 2.4.40 にアップグレードされ、旧バージョンに対するバグ修正および機能強化が行われています。特に ORDERING 一致ルールが ppolicy 属性タイプ詳細に追加されています。SRV 記録を処理する際にサーバーが予期せず終了してしまうことがなくなり、欠落していた objectClass 情報が追加されています。これによりユーザーはフロントエンドの設定を標準の方法で変更できるようになります。

SSSD のキャッシュ認証

SSSD ではオンラインモードであっても再接続を試行せずキャッシュに対して認証を行うことができるようになります。直接、ネットワークサーバーに対して認証を繰り返すとアプリケーションの待ち時間が過度に長くなり、ログインのプロセスに非常に時間がかかる原因となる可能性があります。

SSSD でクライアントごとの UID と GID のマッピングが可能に

SSSD を使ったクライアント側の設定により、特定の Red Hat Enterprise Linux クライアント上のユーザーを異なる UID と GID にマッピングできるようになりました。クライアント側から上書きができるため、UID と GID の重複によって起きる問題を解決したり、異なる ID マッピングを使用していたレガシーシステムからの移行が容易になります。
この上書きは SSSD キャッシュに保存されることに留意してください。つまり、キャッシュを削除すると上書きも削除されます。

SSSD でロックされているアカウントへの SSH アクセス拒否が可能に

以前は、OpenLDAP を SSSD の認証データベースとして使用していると、ユーザーのアカウントがロックされた後であっても SSH キーを使った認証が可能でした。ldap_access_order パラメーターが ppolicy 値を受け取るようになり、このような状況の場合にはユーザーへの SSH アクセスを拒否できるようになります。ppolicy の使い方については sssd-ldap(5) の man ページの ldap_access_order の説明をご覧ください。

sudo ユーティリティーでコマンドのチェックサムの検証が可能に

sudo ユーティリティーの設定で許可されるスクリプトやコマンドのチェックサムを格納できるようになります。コマンドやスクリプトの再実行を行うと、そのチェックサムが格納しているチェックサムと比較され何も変更されていないか検証が行われます。コマンドまたはバイナリーが変更されている場合は sudo ユーティリティーでコマンドの実行が拒否され警告がログ記録されます。

SSSD スマートカードのサポート

SSSD でローカル認証用のスマートカードをサポートするようになりました。これにより、ユーザーはテキストベースまたはグラフィカルのコンソールからスマートカードを使ってシステムや sudo サービスなどローカルのサービスにログオンすることができます。ユーザーはスマートカードをリーダーに挿入し、ログインプロンプトでユーザー名とスマートカードの PIN を入力します。スマートカードの証明書が確認されると、ユーザーが認証されます。
SSSD では現在、スマートカードを使った Kerberos チケットの取得はできません。Kerberos チケットを取得するには kinit ユーティリティーを使った認証が必要になります。

複数の証明書プロファイルおよびユーザー証明書のサポート

Identity Management では単一サーバーの証明書プロファイルのみのサポートではなく、発行サーバーと他の証明書用の複数プロファイルに対応するようになりました。プロファイルはディレクトリーサーバーに保存され、IdM レプリカ間で共有されます。
また、管理者は個別のユーザーに証明書を発行できるようになりました。これまでは、ホストとサービスにしか証明書を発行できませんでした。

Password Vault (パスワード保管所)

パスワードやキーなどユーザーのプライベート情報を安全に集約的に保管できる新機能が Identity Management に追加されています。Password Vault は PKI (パブリックキーインフラストラクチャー) の KRA (鍵回復機関) サブシステムの上に構築されています。

Identity Management の Kerberos HTTPS プロキシ

MS-KKDCP (Microsoft Kerberos KDC Proxy Protocol) と相互運用できる KDC (キー配信センター) プロキシ機能の実装が Identity Management で利用できるようになり、クライアントは HTTPS を使った KDC と kpasswd サービスへのアクセスができるようになります。システム管理者はシンプルな HTTPS リバースプロキシでプロキシをネットワークで公開することができるようになるため、専用アプリケーションの設定や管理を行う必要がなくなります。

キャッシュされたエントリーをバックグラウンドで更新

SSSD でキャッシュしたエントリーの帯域外での更新をバックグラウンドで行えるようになります。本更新前はキャッシュしたエントリーの有効期限が切れるとリモートサーバーからそのエントリーを読み出しデータベースに新規エントリーとして格納していたため時間がかかることがありました。本更新によりバックエンドで常にエントリーが更新されているためエントリーがすぐに返されるようになります。SSSD によるエントリーのダウンロードが要求時だけはでなく定期的に行われるようになるためサーバーの負荷が高くなる点に注意してください。

initgroups の動作のキャッシング

SSSD 高速メモリーキャッシュで initgroups の動作に対応するようになります。initgroups の処理速度が高まり GlusterFS や slapi-nis など一部のアプリケーションのパフォーマンスが改善されます。

mod_auth_gssapi でスリム化されたネゴシエート認証

Identity Management で mod_auth_gssapi モジュールが使用されるようになります。このモジュールは GSSAPI 呼び出しを使用します。以前は mod_auth_kerb モジュールによりダイレクトの Kerberos 呼び出しが使用されていました。

ユーザーのライフサイクル管理の機能

ユーザーのライフサイクル管理によりユーザーアカウントの有効化と無効化を自在に管理することができるようになります。新規のユーザーアカウントを完全には有効化せずステージエリアに追加してプロビジョニングを行ったり、無効になっているユーザーアカウントを有効にして完全に機能するようにしたり、ユーザーアカウントをデータベースからは消去せずに無効にだけしたりすることができるようになります。
大規模な IdM 導入の場合、ユーザーのライフサイクル管理機能で得られる利点が多くあります。ステージエリアへのユーザーの追加は標準の LDAP クライアントからでもダイレクト LDAP 動作を使用すれば直接行うことができます。以前は IdM コマンドラインツールまたは IdM web UI によるユーザーの管理にしか対応していませんでした。

certmonger での SCEP サポート

certmonger サービスで SCEP (Simple Certificate Enrollment Protocol) に対応するよう更新が行われています。新しい証明書の発行、既存証明書の更新や差し替えなどが可能になります。

IdM 用の Apache モジュールが完全対応

Red Hat Enterprise Linux 7.1 でテクノロジープレビューに加えられた mod_authnz_pammod_lookup_identitymod_intercept_form_submit の IdM (Identity Management) 用 Apache モジュールが完全対応になります。この Apache モジュールを外部アプリケーションで使用して、IdM とより緊密に通信することで単なる認証以上のものになります。

NSS で受け取り可能なキーの強さの最小値の変更

Red Hat Enterprise Linux 7.2 のNSS (ネットワークセキュリティーサービス) ライブラリーは 768 ビット未満の DH (Diffie-Hellman) キー交換パラメーター、1023 ビット未満のキーサイズの RSA および DSA 証明書は受け取らなくなります。受け取り可能なキーの強さの最小値を上げることで Logjam (CVE-2015-4000) や FREAK (CVE-2015-0204) などの既知のセキュリティ脆弱性を悪用する攻撃を防止します。
新しい最小値より弱いキーを使用してサーバーへ接続を行おうとすると、Red Hat Enterprise Linux の旧バージョンで接続できていた場合でも失敗するようになります。

NSS が TLS バージョン 1.1 と 1.2 をデフォルトで有効化

NSS がデフォルトで有効にするプロトコルバージョンを使用するアプリケーションが TLS バージョン 1.1 と TLS バージョン 1.2 のプロトコルに対応します。

ECDSA 証明書をサポート

デフォルトの NSS 暗号リストを使用するアプリケーションが、Elliptic Curve Digital Signature Algorithm (ECDSA) 証明書を使用するサーバーへの接続をサポートします。

OpenLDAP が NSS デフォルト暗号スイートを自動選択

OpenLDAP クライアントがサーバーとの通信に Network Security Services (NSS) デフォルト暗号スイートを自動的に選択します。OpenLDAP ソースコードに手動でデフォルトの暗号スイートを維持する必要がなくなりました。

IdM サーバーを信頼性エージェントとして設定

Identity Management (IdM) は、信頼性コントローラーおよび信頼性エージェントという 2 つのタイプの IdM マスターサーバーを区別します。前者は信頼性の確率と維持に必要な全サービスを実行します。後者は、信頼できるアクティブディレクトリーフォレストからこれら IdM サーバーに登録された IdM クライアントへのユーザーとグループの解決に必要となるサービスのみを実行します。
デフォルトでは、ipa-adtrust-install コマンドを実行すると IdM サーバーは信頼性コントローラーとして設定されます。別の IdM サーバーを信頼性エージェントとして設定するには、--add-agents オプションを ipa-adtrust-install に渡します。

WinSync からの信頼性の自動移行に対応

新たな ipa-winsync-migrate ユーティリティーは、WinSync を使用した同期ベースの統合から Active Directory (AD) 信頼性をベースとした統合へのシームレスな移行を可能にします。このユーティリティーは、WinSync を使用して同期された全ユーザーを指定された AD フォレストから自動的に移行します。これまでは、同期から信頼への移行は、ID ビューを使用して手動でしか実行できませんでした。
ipa-winsync-migrate についての詳細は、ipa-winsync-migrate(1) man ページを参照してください。

ワンタイムパスワードと長期パスワードでの複数ステップのプロンプト

ワンタイムパスワード (トークン) と長期パスワードを合わせて使用してログインする場合、ユーザーはこれらのパスワードを別々にプロンプトされます。これにより、ワンタイムパスワードの使用時におけるユーザー体験が向上し、長期パスワードの抽出が安全になることで、オフライン認証で長期パスワードのキャッシュが使用できるようになります。

OpenLDAP 向け LPK スキーマが LDIF 形式で利用可能

LDIF は OpenLDAP インポートスキーマの新たなデフォルト形式です。openssh-ldap パッケージが LDAP Public Key (LPK) スキーマを LDIF 形式で提供します。このため、管理者は LDAP をベースとする公開鍵認証の設定時に LDIF スキーマを直接インポートすることができます。

Cyrus が再び AD および IdM サーバーに認証可能

cyrus-sasl パッケージのアップストリームリリースでは非後方互換性が導入されたため、Cyrus は旧式の SASL 実装に対する認証ができなくなっていました。この結果、Red Hat Enterprise Linux 7 は、Active Directory (AD) と Red Hat Enterprise Linux 6 Identity Management (IdM) サーバーに対する認証ができませんでした。アップストリームでの変更は元に戻され、Cyrus が AD と IdM サーバーに認証できるようになっています。

SSSD で検出された AD サイトを自動的に無効化

クライアントにより接続された Active Directory (AD) DNS サイトがデフォルトで自動検出されます。ただし、セットアップによってはデフォルトの自動検索では最適な AD サイトが検出されないことがあります。このような場合に、/etc/sssd/sssd.conf ファイルの [domain/NAME] セクションにある ad_site パラメーターを使って、DNS サイトを手作業で定義できるようになりました。

SAML ECP のサポートを追加

lasso パッケージがバージョン 2.5.0 に、mod_auth_mellon パッケージがバージョン 0.11.0 にリベースされ、Security Assertion Markup Language (SAML) Enhanced Client or Proxy (ECP) のサポートが追加されました。SAML ECP は SAML プロファイルの代わりとなるもので、非ブラウザベースのシングルサインオン (SSO) を有効にします。

winbindd サービスでデフォルト設定にグループメンバーシップが記載されない

Samba バージョン 4.2.0 以降の winbindd サービスでは、表示目的でのグループメンバーシップの記載がなくなりました。信頼されるドメインのある環境というような状況によっては、この情報を常に信頼性を持って提供することはできませんでした。不正確な情報を提供するというリスクを防ぐために、デフォルトの winbindd 設定は winbind expand groups = 0 に変更されました。この設定では、以前の動作は無効になります。getent group といったコマンドはこれまでこの機能に依存しており、今までのように機能しない可能性があることに注意してください。