Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第5章 認証および相互運用性

多くのエリアでサーバーのパフォーマンスが向上しました。

Identity Management の一部の操作は、はるかに高速に実行されるようになりました。たとえば、この機能拡張により、50,000 ユーザーおよびホストを超える大規模なデプロイメントでのスケーラビリティーが向上します。主な改善点は次のとおりです。
  • ユーザーおよびホストの迅速な追加
  • すべてのコマンドの高速 Kerberos 認証
  • ipa user-find コマンドおよび ipa host-find コマンドの実行が速くなる
多数のエントリーのプロビジョニングに必要な時間を短縮する方法は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuningを参照してください。
検索操作をより迅速に行うために、ipa *-find コマンドは、デフォルトでメンバーシップを表示しなくなりました。メンバーシップを表示するには、--all オプションを ipa *-find に追加するか、ipa *-show コマンドを使用します。(BZ#1298288, BZ#1271321, BZ#1268449, BZ#1346321)

強化された IdM トポロジー管理

Identity Management (IdM)トポロジーに関する情報は、共有ツリーの中央サイトで維持されるようになりました。その結果、コマンドラインまたは Web UI を使用して、IdM サーバーからトポロジーを管理できるようになりました。
さらに、トポロジー管理操作の一部(特に以下)が簡素化されました。
  • トポロジーコマンドは IdM コマンドラインインターフェイスに統合され、ネイティブの IdM コマンドラインツールを使用してすべてのレプリカ操作を実行できるようにします。
  • 新しいワークフローを使用し、Web UI またはコマンドラインからレプリカ合意を管理できます。
  • Web UI には IdM トポロジーのグラフが含まれており、レプリカ関連の現在の状態を視覚化するのに役立ちます。
  • IdM には、トポロジーから最後の認証局(CA)マスターを誤って削除したり、他のサーバーからサーバーを分離することを防ぐ安全対策が含まれています。
  • トポロジー内のどのサーバーがどのサービスをホストするかを簡単に判断したり、これらのサービスをサーバーにインストールする簡単な方法としてサーバーロールのサポート。
新機能では、ドメインレベルを 1 に増やす必要があることに注意してください。https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#1298848, BZ#1199516)を参照してください。

レプリカのインストールの簡素化

レプリカをインストールすると、初期サーバーにログインし、Directory Manager (DM)認証情報を使用し、初期サーバーからレプリカ情報ファイルをコピーします。たとえば、これにより、外部インフラストラクチャー管理システムを使用したプロビジョニングを容易にし、適切なレベルのセキュリティーを維持できます。
さらに、ipa-replica-install ユーティリティーも、既存のクライアントをレプリカにプロモートできるようになりました。
新機能では、ドメインレベルを 1 に増やす必要があることに注意してください。https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#837369)を参照してください。

IdM が AD ユーザーのスマートカード認証に対応

今回の更新で、Identity Management (IdM)でスマートカードのサポートが拡張されました。信頼できる Active Directory (AD)のユーザーは、ssh とローカルの両方でスマートカードを使用して認証できるようになりました。ローカル認証では、以下の方法がサポートされます。
  • テキストコンソール
  • Gnome Display Manager (GDM) などのグラフィカルコンソール
  • susudoなどのローカル認証サービス
IdM は、スマートカード認証用に上記のローカル認証サービスと ssh のみに対応していることに注意してください。FTP などの他のサービスには対応していません。
AD ユーザーのスマートカード証明書は、AD に直接保存するか、AD ユーザーの IdM オーバーライドオブジェクトに保存できます。

IdM が TGS 承認の決定をサポート

Identity Management (IdM)環境では、任意でマルチファクター認証を使用してログインできます。チケット保証サーバー(TGS)の Kerberos チケットには、標準パスワードを使用した二要素認証とワンタイムパスワード(OTP)の組み合わせが使用されている場合にインジケーターが含まれるようになりました。これにより、管理者はリソースのサーバー側のポリシーを設定できます。また、ユーザーはログインのタイプに基づいてアクセスできるようになります。たとえば、管理者は 1 要素認証または 2 要素認証を使用してデスクトップにログインできるようになりましたが、仮想プライベートネットワーク(VPN)ログインには 2 要素認証が必要です。
デフォルトでは、すべてのサービスはすべてのチケットを受け入れます。この粒度を有効にするには、IdM Web ユーザーインターフェイスでポリシーを管理するか、ipa service-* コマンドおよび ipa host-* コマンドを使用します。(BZ#1224057, BZ#1340304, BZ#1292153)

SSSD が、オプションの 2 要素認証を提供するようになりました。

System Security Services Daemon (SSSD)では、2 要素認証が有効になっているユーザーは、標準のパスワードおよびワンタイムパスワード(OTP)を使用するか、標準のパスワードのみを使用して、サービスに対して認証できるようになりました。オプションの 2 要素認証により、管理者は単一の要素を使用してローカルログインを設定できますが、VPN ゲートウェイへのアクセスなどの他のサービスは両方の要素を要求できます。その結果、ログイン時に、ユーザーは両方の要素を入力するか、オプションでパスワードのみを入力できます。その後、Kerberos チケットは認証インジケーターを使用して、使用された要素を一覧表示します。(BZ#1325809)

新しい SSSD コントロールおよびステータスユーティリティー

sssctl ユーティリティーは、System Security Services Daemon (SSSD)のステータスに関する情報を取得するためのシンプルで統一された方法を提供します。たとえば、アクティブなサーバー、自動検出されたサーバー、ドメイン、キャッシュされたオブジェクトに関するステータス情報をクエリーできます。さらに、sssctl ユーティリティーを使用すると、SSSD データファイルを管理し、サービスの実行中に安全な方法で SSSD のトラブルシューティングを行うことができます。
sssctl でサポートされるオプションには、client-data-backup および cache-remove が含まれており、SSSD キャッシュをバックアップおよび削除します。以前は、キャッシュされたデータなしで SSSD を起動する必要がある場合、管理者はキャッシュファイルを手動で削除する必要があります。
ユーティリティーが提供する機能の詳細は、sssctl --help を実行します。

SSSD 設定ファイルの検証

以前は、System Security Services Daemon (SSSD)は、/etc/sssd/sssd.conf ファイルを手動でチェックするツールを提供していませんでした。そのため、サービスが起動に失敗した場合に、管理者が設定ファイルで問題を見つける必要がありました。今回の更新で、sssctl コマンドの config-check オプションを使用して、設定ファイルの問題を見つけるようになりました。また、SSSD はサービスの起動後に設定ファイルの有効性を自動的にチェックし、誤った設定のレベル 0 デバッグメッセージを表示します。(BZ#988207, BZ#1072458)

pki cert-find コマンドが失効文字列に対応

pki cert-find コマンドが拡張され、文字列形式の失効理由に対応するようになりました。その結果、Key_compromise などの文字列を、対応する数値ではなく --revocationReason オプションに渡すことができます。サポートされる失効文字列の一覧は、を参照してください。
# pki cert-find --help
(BZ#1224365)

IdM が、サーバーまたはレプリカのインストール時に個々の Directory Server オプションの設定に対応

Identity Management (IdM) ipa-server-install コマンドおよび ipa-replica-install コマンドが強化されました。新しい --dirsrv-config-file パラメーターにより、管理者は IdM のインストール中およびインストール後に使用されるデフォルトの Directory Server 設定を変更できます。たとえば、上記の状況でセキュアな LDAP バインドを無効にするには、以下を実行します。
LDIF 形式の 設定でテキストファイルを作成します。
dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off
--dirsrv-config-file パラメーターおよびファイルをインストールスクリプトに渡して、IdM サーバーのインストールを開始します。
# ipa-server-install --dirsrv-config-file filename.ldif
(BZ#825391)

IdM が admin グループおよび ipaservers ホストグループを有効にするようになりました。

Identity Management (IdM)に、2 つの新しいグループが追加されました。
  • ユーザーグループ管理 - メンバーには、IdM の完全な管理パーミッションがあります。
  • ホストグループ ipaservers - このグループ内のホストは、完全な管理者権限を持たないユーザーがレプリカにプロモートできます。すべての IdM サーバーがこのグループのメンバーである。(BZ#1211595)

IdM が Web UI で OTP 生成に対応

Identity Management (IdM)は、Web UI でホストを追加する際のワンタイムパスワード(OTP)生成をサポートするようになりました。Add host ダイアログで Generate OTP チェックボックスを選択します。ホストを追加すると、生成された OTP が表示されます。このパスワードを使用して、ホストをドメインに参加させることができます。この手順では、プロセスを簡素化し、強力な OTP を提供します。OTP を上書きするには、ホストの詳細ページに移動し、アクション をクリックして、Reset One-Time-Password を選択します。(BZ#1146860)

sudo ルールの有効期限が切れていることを示す新しい sss_cache オプション

今回の更新で、SSSD (System Security Services Daemon)から sss_cache コマンドが強化されました。1 つまたはすべての sudo ルールの有効期限が切れていることを示すオプション -r および -R が追加されました。これにより、管理者は次の sudo ルックアップで新しいルールを強制的に更新できます。sudo ルールは、ユーザーおよびグループエンティティーとは異なるアルゴリズムを使用して更新されることに注意してください。このメカニズムの詳細は、sssd-sudo (5) man ページを参照してください。(BZ#1031074)

新しいパッケージ: custodiapython-jwcrypto

今回の更新で、custodia パッケージとその依存関係 python-jwcrypto が Red Hat Enterprise Linux 7 に追加されました。
Custodia は、シークレットを要求および配布するための HTTP ベースのパイプラインです。シークレット管理の認証、承認、要求処理、およびストレージステージを処理します。custodia は現在、Red Hat Identity Management の内部サブシステムとしてのみサポートされています。
python-jwcrypto パッケージは、Python での JavaScript オブジェクトの署名および暗号化(JOSE) Web 規格の実装です。Custodia の依存関係としてインストールされます。(BZ#1206288)

新規パッケージ: python-gssapi

今回の更新で、python-gssapi パッケージが Red Hat Enterprise Linux 7 に追加されました。Python 2 および 3 と互換性のある汎用セキュリティーサービス API (GSSAPI)を提供します。Identity Management (IdM)は、Python 2 のみをサポートする python-krbV および python-pykerberos の代わりとして パッケージを使用します(BZ#1292139)。

新しいパッケージ: python-netifaces

今回の更新で、python-netifaces パッケージが Red Hat Enterprise Linux 7 に追加されました。この Python モジュールにより、オペレーティングシステムからシステムネットワークインターフェイスに関する情報を読み取ることができます。Red Hat Identity Management (IdM)の依存関係として追加されました。(BZ#1303046)

新規パッケージ: mod_auth_openidc

今回の更新で、mod_auth_openidc パッケージが Red Hat Enterprise Linux 7 に追加されました。これにより、Apache HTTP サーバーは、シングルサインオン(SSO)または OAuth 2.0 リソースサーバーとして OpenID Connect として機能します。Web アプリケーションは モジュールを使用して、Keycloak オープンソースプロジェクトや Red Hat Single Sign-On (SSO)製品を含むさまざまな OpenID Connect サーバー実装と対話できます。(BZ#1292561)

IdM が DNS の場所に対応

今回の更新で、クロスサイトの実装を改善するために、Identity Management (IdM)統合 DNS サーバーに DNS の場所管理のサポートが追加されました。以前は、DNS レコードを使用して IdM サーバーを見つけるクライアントは、ローカルサーバーをリモートの地理的な場所にあるサーバーと区別できませんでした。今回の更新で、DNS 検出を使用するクライアントが最も近いサーバーを見つけ、最適化された方法でネットワークを使用できるようになりました。これにより、管理者は DNS の場所を管理し、IdM Web ユーザーインターフェイスとコマンドラインでサーバーを割り当てることができます。

IdM が AD ドメインへの外部信頼の確立に対応

Red Hat Enterprise Linux Identity Management (IdM)は、フォレスト内の Active Directory (AD)ドメインへの外部信頼確立をサポートするようになりました。外部の信頼は推移的ではなく、AD フォレスト内の任意のドメインに対して確立できます。これにより、AD フォレスト全体を信頼するのではなく、信頼できる関係を特定のドメインに制限できます。(BZ#1314786)

IdM が、別の UPN でのログインに対応しました。

Active Directory (AD)フォレストでは、別のユーザープリンシパル名(UPN)接尾辞をデフォルトのドメイン名ではなくユーザー名に関連付けることができます。Identity Management (IdM)では、信頼された AD フォレストのユーザーが別の UPN でログオンできるようになりました。
さらに、SSSD (System Security Services Daemon)は、IdM サーバーが別の UPN に対応しているかどうかを検出するようになりました。SSSD がサポートされている場合、SSSD はこの機能をクライアントで自動的にアクティブにします。
信頼された AD フォレストで UPN 接尾辞を追加または削除する場合は、IdM マスターで ipa trust-fetch-domains を実行して、IdM データベースの信頼済みフォレストの情報を更新します。

IdM がサブ CA に対応

Identity Management (IdM)は、IdM ドメイン内で発行されたすべての証明書に署名するために使用された認証局(CA)を 1 つだけサポートしていました。これで、軽量のサブ CA を使用して、証明書を使用できる目的をより適切に制御できるようになりました。たとえば、仮想プライベートネットワーク(VPN)サーバーは、その目的のために作成されたサブ CA が発行する証明書のみを受け入れるように設定できます。これにより、スマートカード CA などの他のサブ CA が発行する証明書を拒否します。
この機能をサポートするために、certmonger で証明書を要求する際に、IdM 軽量のサブ CA を指定できるようになりました。

SSSD が Kerberos ホストキータブの自動更新をサポート

以前は、System Security Services Daemon (SSSD)は、Active Directory (AD)の Kerberos ホストキータブファイルの自動更新をサポートしていませんでした。セキュリティー上の理由から、有効期限のないパスワードを使用できない環境では、ファイルを手動で更新する必要がありました。今回の更新で、SSSD は Kerberos ホストキータブファイルを自動的に更新できるようになりました。
SSSD は、マシンアカウントのパスワードが /etc/sssd/sssd.conf ファイルの ad_maximum_machine_account_password_age パラメーターで設定された日数以前の場合は、1 日あたり 1 回確認します。

IdM がユーザープリンシパルのエイリアスに対応

Identity Management (IdM)は、ユーザー名を使用した認証のみをサポートしていました。ただし、一部の環境では、メールアドレスまたはエイリアス名で認証する必要があります。IdM が拡張され、プリンシパルエイリアスに対応するようになりました。SSSD (System Security Services Daemon)も、この機能をサポートするように更新されました。
エイリアス ualiasuser@example.com をアカウント ユーザー に追加するには、以下のコマンドを実行します。
# ipa user-add-principal user ualias user\\@example.com
エイリアスの場合は kinit コマンドに -C オプションを使用し、エンタープライズプリンシパル名を使用する場合は -E オプションを使用します。
# kinit -C ualias
# kinit -E user@example.com
(BZ#1328552, BZ#1309745)

SSSD キャッシュ更新のパフォーマンス向上

以前は、キャッシュの有効期限のタイムアウトが経過した後に、SSSD (System Security Services Daemon)は常にキャッシュされたすべてのエントリーを更新していました。これにより、変更されていないエントリーのクライアントおよびサーバーの不必要なリソースが消費されました。SSSD が拡張され、キャッシュされたエントリーに更新が必要かどうかを確認するようになりました。変更されていないエントリーのタイムスタンプの値を増やし、新しい SSSD データベース /var/lib/sss/db/timestamps_$domain.ldb に保存されます。今回の機能拡張により、グループなど、サーバー側でほとんど変更されないエントリーのパフォーマンスが向上します。(BZ#1290380)

SSSD が IdM スキーマに保存されている sudo ルールに対応

以前は、System Security Services Daemon (SSSD)は、互換性プラグインによって生成された ou=sudoers コンテナーを使用して sudo ルールを取得していました。SSSD は、Identity Management (IdM)ディレクトリースキーマに保存されている cn=sudo コンテナーで sudo ルールをサポートするように拡張されました。
この機能を有効にするには、/etc/sssd/sssd.conf ファイルの ldap_sudo_search_base パラメーターの設定を解除します。(BZ#789477)

SSSD が、RID 番号が高い環境で AD クライアントの ID 範囲を自動的に調整するようになりました。

System Security Services Daemon (SSSD)サービスに含まれる自動 ID マッピングメカニズムは、ID 範囲ドメインをマージできるようになりました。ID 範囲の SSSD のデフォルトサイズは 200,000 です。大規模な Active Directory (AD)インストールでは、Active Directory 相対 ID (RID)が RID に対応するように 200,000 を超えると、管理者は SSSD によって割り当てられる ID 範囲を手動で調整する必要がありました。
今回の機能拡張により、ID マッピングを有効にしている AD クライアントでは、SSSD は上記の状況で ID 範囲を自動的に調整するようになりました。その結果、管理者は ID 範囲を手動で調整する必要がなく、デフォルトの ID マッピングメカニズムは大規模な AD インストールでは機能します。(BZ#1059972)

新しい sssctl オプション remove-cache

今回の更新で、sssctl ユーティリティーに remove-cache オプションが追加されました。オプションは、ローカルの System Security Services Daemon (SSSD)データベースコンテンツを削除し、sssd サービスを再起動します。これにより、管理者は SSSD を使用してクリーンな状態から起動し、キャッシュファイルを手動で削除する必要がなくなります。(BZ#1007969)

レガシー IdM クライアントでのパスワードの変更

以前は、Red Hat Enterprise Linux には、ユーザーがレガシー Identity Management (IdM)クライアントでパスワードを変更できない slapi-nis のバージョンが含まれていました。これにより、slapi-nis 互換性ツリーを介してクライアントにログインしているユーザーは、IdM Web UI を使用してパスワードを更新するか、Active Directory (AD)で直接更新できました。パッチが適用され、その結果、ユーザーはレガシーの IdM クライアントでパスワードを変更できるようになりました。(BZ#1084018)

ldapsearch コマンドが、すべての操作属性を返すようになりました。

LDAP 検索は、IETF RFC 3673 で説明されているようにすべての操作属性を返すようになりました。検索で + 文字を使用すると、バインドされた識別名(DN)がアクセスできるすべての操作属性が生成されます。返される結果は、適用可能なアクセス制御手順(ACI)に応じて制限される場合があります。
検索例は、以下のようになります。
ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com
この機能の詳細は、https://tools.ietf.org/html/rfc3673 を参照してください。(BZ#1290111)

ログタイムスタンプの精度の向上

今回の更新で、Directory Server ログのタイムスタンプの精度が 1 秒の精度から、デフォルトでナノ秒の精度に引き上げられます。今回の機能拡張により、Directory Server でのイベントのより詳細な分析が可能になり、外部ログシステムが Directory Server からのログを正しく再ビルドおよびインターイブできるようになりました。
以前のバージョンでは、ログエントリーには以下の例のようにタイムスタンプが含まれていました。
[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
今回の更新により、同じログエントリーに、より正確なタイムスタンプが含まれるようになりました。
[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
古いタイムスタンプの形式に戻すには、cn=confignsslapd-logging-hr-timestamps-enabled 属性を false に設定します。(BZ#1273549)

ユーザーパスワードの変更が常に shadowLastChange 属性を更新するようになりました。

以前は、ユーザーのパスワードを変更する方法によっては、passwordExpirationTime 属性を更新することができましたが、shadowLastChange 属性は更新できませんでした。Active Directory などの Directory Server とインターフェイスできるシステムによっては、両方の属性が更新される必要があるため、この動作により同期エラーが発生する可能性があります。今回の更新で、ユーザーパスワードを変更すると、両方の属性が更新され、同期の問題は発生しなくなりました。(BZ#1018944)

ns-slapd が監査ログで失敗した操作をログに記録

以前のバージョンでは、ns-slapd はディレクトリーへの正常な変更のみをログに記録します。今回の更新で、失敗した変更、それらのコンテンツ、および失敗の理由のロギングがサポートされるようになりました。これにより、ディレクトリーコンテンツの変更や攻撃の検出に失敗するアプリケーションのデバッグが容易になります。(BZ#1209094)

Directory Server インスタンスのステータスを表示する新しいユーティリティー

Directory Server は、1 つまたはすべてのインスタンスのステータスを出力する status-dirsrv コマンドラインユーティリティーを提供するようになりました。以下のコマンドを使用して、既存のインスタンスの一覧を取得します。
status-dirsrv
特定のインスタンスのステータスを表示するには、コマンドにインスタンス名を追加します。詳細と戻りコードの一覧は、status-dirsrv (8) man ページを参照してください。(BZ#1209128)

IdM が最大 60 台のレプリカに対応

Identity Management (IdM)は、IdM ドメインごとに最大 20 のレプリカをサポートしていました。今回の更新で、IdM ドメインごとにサポート制限が 60 レプリカに増えます。

SSSD が、/etc/sssd/conf.d/からオプションの *.conf ファイルを読み取るようになりました。

SSSD (System Security Services Daemon)が、/etc/sssd/conf.d/ ディレクトリーから *.conf ファイルを読み取るように強化されました。これにより、すべてのクライアントで一般的な /etc/sssd/sssd.conf ファイルを使用し、個々のクライアントに合わせて追加の設定ファイルに追加設定を追加できます。SSSD は、最初に一般的な /etc/sssd/sssd.conf ファイルを読み込み、次に、/etc/sssd/conf.d/ の他のファイルをアルファベット順で読み取ります。同じファイルが異なるファイルに複数回表示される場合、デーモンは最後の読み取り設定パラメーターを使用します。(BZ#790113)

スキーマでの引用符の使用を可能にする新しいオプション

今回の更新で、スキーマディレクトリーの引用符を使用して古いスタイルスキーマのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTED 環境変数が導入されました。この機能を有効にするには、/etc/sysconfig/dirsrv-INSTANCE 設定ファイルに以下の変数を設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1368484)

OpenLDAP が SHA2 パスワードハッシュに対応

Red Hat Enterprise Linux 7.3 の OpenLDAP サーバーは、SHA2 サポートのモジュールを提供するようになりました。pw-sha2 モジュールを読み込むには、以下の行を /etc/openldap/slapd.conf ファイルに追加します(moduleload pw-sha2)。
これにより、以下のハッシュを使用して、パスワードを OpenLDAP に保存できます。
  • SSHA-512
  • SSHA-384
  • SSHA-256
  • SHA-512
  • SHA-384
  • SHA-256 (BZ#1292568)

pki cert-request-find コマンドが、完了した失効要求のシリアル番号を表示するようになりました。

この更新により、pki サブコマンド cert-request-find は、完了した失効要求に対して、失効した証明書の証明書 ID を表示するようになりました。(BZ#1224642)

IdM パスワードポリシーで有効期限のないパスワードが有効になりるようになりました。

以前は、Identity Management (IdM)のすべてのユーザーパスワードに有効期限が定義されている必要がありました。今回の更新により、管理者はパスワードポリシー Max lifetime の値を 0 に設定することで、ユーザーパスワードを無期限に有効にするように設定することができるようになりました。
新しいパスワードポリシー設定は新しいパスワードにのみ適用されます。変更を有効にするには、既存のユーザーがパスワードを更新する必要があります。(BZ#826790)

ipa-getkeytab が IdM サーバーを自動的に検出できるようになりました。

Identity Management (IdM)サーバーで ipa-getkeytab ユーティリティーを実行する場合は、-s オプションを使用してサーバー名を指定する必要がなくなりました。この状況では、ipa-getkeytab ユーティリティーは IdM サーバーを自動的に検出します。(BZ#768316)

ipa-replica-manage ユーティリティーで強化されたサブコマンド

ipa-replica-manage ユーティリティーが強化され、以下のサブコマンドで o=ipaca バックエンドもサポートされるようになりました。
  • list-ruv
  • clean-ruv
  • abort-clean-ruv
さらに、clean-dangling-ruv サブコマンドが ipa-replica-manage ユーティリティーに追加されました。これにより、管理者はレプリカ更新ベクトル(RUV)を自動的に削除できます。(BZ#1212713)

samba がバージョン 4.4.4 にリベース

samba パッケージがアップストリームバージョン 4.4.4 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • WINS nsswitch モジュールは、WINS クエリーに libwbclient ライブラリーを使用するようになりました。モジュールを使用する WINS 名を解決するには、winbind デーモンが実行している必要があることに注意してください。
  • winbind expand groups オプションのデフォルト値が 1 から 0 に変更になりました。
  • smbget コマンドの -u オプションおよび -g オプションは、他の Samba コマンドのパラメーターに一致するように -U オプションに置き換えられました。-U オプションは username[%password] 値を受け入れます。また、smbgetrc 設定ファイルの username および password パラメーターは user パラメーターに置き換えられました。
  • smbget コマンドの -P パラメーターが削除されました。
  • Kerberos 認証情報で CUPS バックエンドを使用して印刷するには、samba-krb5-printing パッケージをインストールし、CUPS を適切に設定する必要があります。
  • Kerberos 認証情報で CUPS バックエンドを使用して、Samba をプリントサーバーとして設定できるようになりました。これを行うには、samba-krb5-printing パッケージをインストールし、CUPS を適切に設定します。
  • samba をインストールすると、Samba および CTDB ヘッダーファイルが自動的にインストールされなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
SMB プロトコル 3.1.1 で Linux カーネル CIFS モジュールを使用することは現在実験的なものであり、Red Hat が提供するカーネルでは機能が利用できないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。

AD DNS の更新を防ぐ新しい net ads join オプション

net ads join コマンドで --no-dns-updates オプションが提供されるようになりました。これにより、クライアントを Active Directory (AD)に参加する際に DNS サーバーをマシン名で更新できなくなります。このオプションを使用すると、管理者は DNS サーバーがクライアントの更新を許可しない場合に DNS 登録をバイパスできるため、DNS の更新はエラーメッセージを出して失敗しました。(BZ#1263322)

NetBIOS 名を設定する新しい realm join オプション

realm join コマンドは、--computer-name オプションを提供し、個別の NetBIOS 名を設定するようになりました。これにより、管理者はホスト名とは異なる名前を使用してマシンをドメインに参加させることができます。(BZ#1293390)

DRMTool の名前が KRATool に変更

Certificate System (CS)の Data Recovery Manager (DRM)コンポーネントは、Key Recovery Authority (KRA)と呼ばれるようになりました。この変更との整合性を保つために、今回の更新では DRMTool ユーティリティーの名前を KRATool に変更します。移行を容易にするために、互換性シンボリックリンクが提供されることに注意してください。リンクにより、DRMTool を参照するスクリプトが引き続き機能することを確認できます。(BZ#1305622)

OpenJDK 1.8.0 の明示的な依存関係

現在の PKI コードは、OpenJDK 1.8.0 でのみ動作することが検証されています。以前は、PKI は代替が提供する汎用 Java リンクに依存し、リンクが OpenJDK 1.8.0 を参照していることが前提とされていました。代替設定はさまざまな理由で変更される可能性があるため、PKI にいくつかの問題が発生する可能性があります。
PKI が常に適切に動作するように、PKI は、特に Java インストールに関係なく、OpenJDK 1 .8.0 の最新更新を常に参照する jre_1.8.0_openjdk リンクに依存するように変更されました。(BZ#1347466)

ipa *-find コマンドがメンバーエントリーを表示しなくなる

Identity Management (IdM) ipa *-find コマンドの新しいデフォルト設定には、ホストグループなどのメンバーエントリーが表示されなくなりました。多数のメンバーエントリーを解決することはリソース集約型であり、コマンドの出力には時間がかかり、読み取れない可能性があります。その結果、デフォルトが変更されました。メンバーエントリーを表示するには、ipa *-find コマンドで --all オプションを使用します。以下に例を示します。
# ipa hostgroup-find --all
(BZ#1354626)

Certificate System が CRL の開始 ID の設定に対応

Red Hat Certificate System は、/etc/pki/default.cfg ファイルの pki_ca_starting_crl_number オプションを使用して、証明書失効リスト(CRL)の開始 ID の設定をサポートするようになりました。これにより、管理者は CRL がすでに Certificate System に発行された認証局(CA)を移行できます。(BZ#1358439)

発行者 DN を証明書に追加する新しい pki-server サブコマンド

Certificate Server の拡張機能は発行者 DN を新しい証明書レコードに保存し、REST API 証明書検索により発行者 DN による証明書のフィルターリングがサポートされるようになりました。発行者 DN を既存の証明書レコードに追加するには、以下を実行します。
# pki-server db-upgrade
(BZ#1305992)

Certificate System が古い CRL を削除するようになりました。

以前は、ファイルベースの証明書失効リスト(CRL)公開機能が Certificate System で有効にされている場合、サービスは古い CRL ファイルを削除せずに定期的に新しい CRL ファイルを作成していました。これにより、Certificate System を実行しているシステムは、最終的に領域が不足する可能性がありました。この問題に対処するために、/etc/pki/pki-tomcat/ca/CS.cfg ファイルに 2 つの新しい設定オプションが追加されました。
  • maxAge - ファイルが期限切れになり、パージされるまでの日数を設定します。デフォルトは 0 (never)です。
  • maxFullCRLs: 保持する CRL の最大数を設定します。新しいファイルが公開されると、最も古いファイルがパージされます。デフォルトは 0 (制限なし)です。
これにより、Certificate System が古い CRL ファイルを処理する方法を設定できるようになりました。(BZ#1327683)

クローン作成のための pkispawn 設定で証明書のニックネーム名の指定

クローンインストール時に、クローンは pkispawn 設定ファイルの pki_clone_pkcs12_path パラメーターで指定された PKCS #12 ファイルからシステム証明書をインポートします。以前は、PKCS #12 ファイルで証明書の nick 名を指定する必要はありません。
新しい IPA 要件により、証明書のインポートメカニズムを変更する必要があります。今回の更新で、証明書が適切な信頼属性でインポートされるようにするには、PKCS #12 ファイルの CA 署名証明書と、PKCS #12 ファイルの監査署名証明書を以下のパラメーターに指定する必要があります。
  • pki_ca_signing_nickname
  • pki_audit_signing_nickname (BZ#1321491)

既存の CA 証明書および鍵を使用した Certificate System のデプロイ

以前は、Certificate System は、認証局(CA)証明書の鍵を内部で生成していました。今回の更新で、鍵の生成は任意となり、Certificate System は、PKCS#12 ファイルまたはハードウェアセキュリティーモジュール(HSM)を使用して提供できる既存の CA 証明書および鍵の再利用をサポートするようになりました。このメカニズムにより、管理者は既存の CA から Certificate System に移行できます。(BZ#1289323)

クライアントとして動作するインスタンスの個別の暗号リスト

この機能以前は、Certificate System インスタンスがサーバーおよびクライアントとして機能したときに、server.xml ファイルで指定された暗号リストが使用されていました。場合によっては、特定の暗号が望ましくないか、機能しない可能性があります。今回の更新で、管理者が 2 つの Certificate System サブシステム間の通信にクライアントとして機能する際に、管理者が SSL 暗号の許可されるリストを指定できるようになりました。この暗号リストは、サーバーに保存されている一覧とは異なります。(BZ#1302136)

BEGIN/END PKCS7 ラベルを使用した PKCS #7 証明書チェーンのサポート

RFC 7468 に準拠するために、PKI ツールは、BEGIN/END CERTIFICATE CHAIN ラベルではなく、BEGIN/END PKCS7 ラベルで PKCS #7 証明書チェーンを受け入れて生成するようになりました。(BZ#1353005)

krb5 がバージョン 1.14.1 にリベースされました。

krb5 パッケージがアップストリームバージョン 1.14.1 に更新され、機能強化、新機能、バグ修正が数多く追加されました。特に、セキュリティーを強化するために認証インジケーターサポートを実装します。詳細は、http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html を参照してください(BZ#1292153)

Kerberos クライアントが設定スニペットに対応

/etc/krb5.conf ファイルは、/ etc/krb5.conf.d/ ディレクトリーから設定スニペットを読み込むようになりました。これにより、既存のディストリビューション設定標準および暗号化ポリシー管理への準拠が可能になります。その結果、ユーザーは設定ファイルを分割し、スニペットを /etc/krb5.conf.d/ ディレクトリーに保存できるようになりました。(BZ#1146945)

IdM がバージョン 4.4.0 にリベース

ipa* パッケージがアップストリームバージョン 4.4.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • 多くのメンバーを使用したプロビジョニング、Kerberos 認証、ユーザーおよびグループの操作など、Identity Management (IdM)サーバーのパフォーマンスが改善されました。
  • DNS の場所。ブランチオフィスのクライアントが、リモートサーバーにフォールバックできるローカルサーバーのみに接続することができます。
  • 中央レプリケーショントポロジー管理。
  • サポートされるレプリケーションパートナーの数が 20 から 60 のレプリカに増えました。
  • ワンタイムパスワード(OTP)および RADIUS の認証インジケーターのサポート。認証インジケーターは、ホストおよびサービスに対して個別に有効にできます。
  • サブ CA サポートを使用すると、管理者は個別の認証局を作成して特定のサービスの証明書を発行できます。
  • Active Directory (AD)ユーザーのスマートカードサポートの強化により、管理者はスマートカード証明書を AD または IdM のオーバーライドに保存できます。
  • IdM サーバー API のバージョン管理。
  • AD での外部信頼を確立するためのサポート。
  • 代替 AD ユーザープリンシパル名(UPN)接尾辞。(BZ#1292141)

SSSD で、AD サーバーから autofs マップの取得が可能に

/etc/sssd/sssd.conf ファイルの [domain] セクションで autofs_provider=ad 設定を使用できるようになりました。この設定では、SSSD (System Security Services Daemon)が Active Directory (AD)サーバーから autofs マップを取得します。
以前は、autofs マップを AD に保存する必要がある場合、AD サーバー管理者は autofs_provider=ldap 設定を使用し、バインド方法、検索ベースなどのパラメーターを含む LDAP プロバイダーを手動で設定する必要がありました。今回の更新では、sssd.confautofs_provider=ad のみを設定する必要があります。
SSSD は、AD に保存されている autofs マップが RFC2307 で定義されている形式に従うことを想定しています: https://tools.ietf.org/html/rfc2307 (BZ# 874985)。

dyndns_server オプションを使用すると、DNS サーバーを指定して動的 DNS 更新を受け取ることができます。

SSSD (System Security Services Daemon)が、/etc/sssd/sssd.conf ファイルの dyndns_server オプションに対応するようになりました。オプションは、dyndns_update オプションが有効な場合に DNS レコードで自動的に更新される DNS サーバーを指定します。
このオプションは、たとえば DNS サーバーが ID サーバーとは異なる環境で役に立ちます。このような場合は、dyndnds_server を使用して、SSSD が指定の DNS サーバーの DNS レコードを更新できるようにすることができます。(BZ#1140022)

SSSD は、full_name_format=%1$s を使用して AD 信頼されるユーザーの出力名を短縮名に設定するようになりました。

以前は、信頼設定では、特定の System Security Services Daemon (SSSD)機能では、/etc/sssd/sssd.conf ファイルの full_name_format オプションのデフォルト値を使用する必要がありました。full_name_format=%1$s を使用して、信頼された Active Directory (AD)ユーザーの出力形式を短縮名に設定すると、その他の機能が中断します。
今回の更新により、ユーザー名の内部表現が出力形式から分離されるようになりました。他の SSSD 機能を中断せずに full_name_format=%1$s を使用できるようになりました。
sssd.confdefault_domain_suffix オプションが使用されている場合を除き、入力名は修飾されている必要があることに注意してください。(BZ#1287209)

ドキュメントでは、AD DNS ホスト名を使用した IdM クライアントの設定および制限を説明します。

Identity Management (IdM)のドキュメントが強化され、信頼された Active Directory (AD)ドメインの DNS ネームスペースにある IdM クライアントの設定を説明します。これは推奨される設定ではなく、いくつかの制限があります。たとえば、シングルサインオンの代わりに、これらのクライアントにアクセスするためにパスワード認証のみを使用できます。Red Hat は、AD が所有する DNS ゾーンに IdM クライアントを常にデプロイし、IdM ホスト名を使用して IdM クライアントにアクセスすることを推奨します。

証明書システムが、個別インストールの SSL 暗号の設定に対応

以前は、インストール中に使用されたデフォルトの暗号と重複しない既存の Certificate Server で暗号セットをカスタマイズすると、既存のインスタンスと連携するように新しいインスタンスをインストールすることができませんでした。今回の更新で、Certificate System により、2 ステップインストールを使用して SSL 暗号をカスタマイズできるようになりました。これにより、この問題が回避されます。Certificate System インスタンスのインストール時に暗号を設定するには、次のコマンドを実行します。
1.pki_skip_configuration=True オプションが含まれるデプロイメント設定ファイルを準備します。
2.デプロイメント設定ファイルを pkispawn コマンドに渡して、インストールの初期部分を開始します。
3./var/lib/pki/<instance>/conf/server.xml ファイルの sslRangeCiphers オプションで暗号を設定します。
4.デプロイメント設定ファイルで pki_skip_configuration=True オプションを pki_skip_installation=True に置き換えます。
5.同じ pkispawn コマンドを実行してインストールを完了します。(BZ#1303175)

レプリカリリースタイムアウトを設定するための新しい属性

複数マスターが同時に更新を受信するマルチマスターレプリケーション環境では、ネットワーク接続の速度が遅いため、単一マスターがレプリカへの排他的アクセスを取得し、非常に長い時間保持することができました。この間、他のマスターが同じレプリカへのアクセスをブロックしていたため、レプリケーションプロセスが大幅に遅くなっていました。
今回の更新で、新しい設定属性 nsds5ReplicaReleaseTimeout が追加されました。これは、タイムアウトを秒単位で指定するために使用できます。指定されたタイムアウト期間が経過すると、マスターはレプリカを解放し、他のマスターがレプリカにアクセスし、それらの更新を送信できるようにします。(BZ#1349571)