第19章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使い方

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。AD sudo プロバイダーと LDAP プロバイダーとの併用は Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには sudo_provider=ad 設定を sssd.conf ファイルの [domain] セクションに追加します。

DNSSEC が Identity Management でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management サーバーで DNSSEC (DNS Security Extension) に対応するようになります。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する拡張セットです。Identity Management サーバーでホストされる DNS ゾーンは DNSSEC で自動署名させることができます。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は以下のようなドキュメントを読まれることをお勧めしています。
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
統合 DNS を備えた Identity Management サーバーは他の DNS サーバーから取得する DNS の答えを DNSSEC を使って認証します。Red Hat Enterprise Linux Networking Guide (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載されている推奨の命名方法にしたがった設定ではない DNS ゾーンの場合は、その可用性に影響する場合があるため注意してください。

Nunc Stans イベントフレームワークが Directory Server で利用可能

複数の同時接続を処理する新たな Nunc Stans フレームワークがテクノロジープレビューとして追加されました。このフレームワークを使用すると、パフォーマンスを低下させずに数千のアクティブな接続をサポートすることができます。これはデフォルトでは無効になっています。

IdM での JSON-RPC API のブラウザーが利用可能

Identity Management の JSON-RPC API 用のブラウザーが実装されました。このブラウザーを使って API を閲覧することができます。この機能は実験的なもので、API はサポート対象外であることに注意してください。

新パッケージ: ipsilon

ipsilon パッケージで連携シングルサインオン (SSO) の Ipsilon アイデンティティープロバイダーサービスが提供されます。Ipsilon は認証プロバイダーとアプリケーションまたはユーティリティーをつなぐことで SSO を可能にします。Apache ベースのサービスプロバイダーを設定するユーティリティーとサーバーが含まれます。
Ipsilon サーバーおよびツールキットは、Apache ベースのアイデンティティーサービスプロバイダーを設定する設計となっています。このサーバーは、プラグ可能な内蔵 mod_wsgi アプリケーションで、ウェブアプリケーションへの連携 SSO を提供します。
Ipsilon は本リリースでテクノロジープレビューとして導入されています。現時点では、このサービスを実稼働環境に統合しないでください。