第5章 認証および相互運用性

多くのエリアでのサーバーパフォーマンスの向上

Identity Management の操作が一部、はるかに早く実行されるようになりました。たとえば、今回の機能拡張により、5 万を超えるユーザーやホストが含まれる大規模なデプロイメントにおいてスケーラビリティーを向上することができます。最も顕著な向上機能は以下のとおりです。
  • ユーザーやホストの追加時間の短縮
  • 全コマンドの Keroberos 認証の加速化
  • ipa user-find および ipa host-find コマンドの実行時間の短縮
多数のエントリーのプロビジョニングに必要な時間を短縮する方法については、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuning を参照してください。
検索操作を加速化するため、デフォルトでは ipa *-find コマンドはメンバーシップを表示しなくなりました。メンバーシップを表示するには、ipa *-find--all オプションを追加するか、ipa *-show コマンドを使用してください (BZ#1298288、BZ#1271321、BZ#1268449、BZ#1346321)。

IdM トポロジー管理

Identity Management (IdM) トポロジーに関する情報が共有ツリーの中央の場所で維持管理されるようになり、コマンドラインまたは Web UI を使用して IdM サーバーからトポロジーを管理できるようになりました。
また、以下のようにトポロジー管理操作も大幅に簡素化されました。
  • ネイティブの IdM コマンドラインツールを使用してレプリカ操作をすべて実行できるように、トポロジーのコマンドは IdM コマンドラインのインターフェースに統合されました。
  • 簡素化された新しいワークフローを使用して、Web UI またはコマンドラインでレプリケーションアグリーメントを管理できます。
  • Web UI には、IdM トポロジーのグラフが含まれており、レプリカのリレーションシップの現況を視覚的に確認する際に役立ちます。
  • IdM には、トポロジーから最後の証明局 (CA) を誤って削除したり、他のサーバーから分離したりできないようにする安全措置が含まれます。
  • サーバーのロールがサポートされるようになり、より簡単にトポロジー内のどのサーバーがどのサービスをホストするのかを判断して、サーバーにこれらのサービスをインストールします。
新機能では、ドメインレベルを 1 に上げる必要があります。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#1298848、BZ#1199516) を参照してください。

簡素化されたレプリカのインストール

レプリカのインストールには、最初のサーバーにログインし、Directory Manager (DM) の認証情報を使用して最初のサーバーからレプリカへレプリカ情報ファイルをコピーする必要がなくなりました。たとえば、これにより、妥当なセキュリティーレベルを確保しつつ、外部のインフラストラクチャー管理システムを使用したプロビジョニングが簡素化できるようになりました。
さらに ipa-replica-install ユーティリティーにより、既存のクライアントをレプリカに昇格できるようになりました。
新機能では、ドメインレベルを 1 に上げる必要があります。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#837369) を参照してください。

IdM で AD ユーザー向けのスマートカード認証をサポート

今回の更新では、Identity Management (IdM) でのスマートカードのサポートが拡張されました。信頼された Active Directory (AD) からのユーザーは、ssh を使用してリモートまたはローカルで、スマートカードを使用して認証することができるようになりました。ローカルでの認証については、以下の方法がサポートされています。
  • テキストコンソール
  • Gnome Display Manager (GDM) などのグラフィカルコンソール
  • su または sudo などのローカル認証サービス
IdM でのスマートカード認証には上記のローカル認証サービスおよび ssh のみがサポートされており、FTP などの他のサービスはサポートされません。
AD ユーザーのスマートカード証明書は、AD に直接保存することができます。IDM の証明書は、AD のオブジェクトよりも優先されます。

IdM で TGS 承認決定をサポート

Identity Management (IdM) 環境では、ユーザーはオプションで多要素認証機能 (MFA: Multi-Factor Authentication) を使用してログインすることができます。TGS (Ticket Granting Server) から発行された Kerberos チケットには、ワンタイムパスワード (OTP) と標準のパスワードを組み合わせた二要素認証が使用されたかどうかの指標が含まれます。これにより、管理者はリソースに対してサーバー側のポリシーを設定でき、ユーザーにはログインタイプをベースにアクセス権限が授与されます。たとえば、管理者は、ユーザーが一要素または二要素認証を使用してデスクトップにログインできるが、仮想プライベートネットワーク (VPN) のログインに二要素認証が必要になるような設定をすることができます。
デフォルトでは、全サービスはすべてのチケットを受け入れます。このような粒度を有効にするには、IdM Web ユーザーインターフェースでポリシーを管理するか、ipa service-* および ipa host-* コマンドを使用する必要があります (BZ#1224057、BZ#1340304、BZ#1292153)。

sssd でオプションの 2 要素認証を提供

System Security Services Daemon (SSSD) では、二要素認証が有効になっているユーザーは、標準のパスワードとワンタイムパスワード (OTP) を使用するか、標準のパスワードのみを使用してサービスへのアクセス認証ができるようになりました。オプションの二要素認証では、管理者は一要素認証を使用したローカルログインを設定できるだけでなく、VPN ゲートウェイへのアクセスなど他のサービスも両要素を要求できるようになっています。そのため、ログイン時に両要素を使用することも、パスワードだけを使用することもできます。Kerberos チケットは使用した要素を表示する認証指標を使用します (BZ#1325809)。

新しい SSSD 制御およびステータスユーティリティー

sssctl ユーティリティーでは、シンプルで一元化された方法で System Security Services Daemon (SSSD) のステータスに関する情報を取得できます。たとえば、アクティブなサーバー、自動検出されたサーバー、ドメイン、キャッシュされたオブジェクトに関するステータス情報を照会することができます。また sssctl ユーティリティーを使用すると、SSSD データファイルを管理することで、サービスの実行中に安全に SSSD をトラブルシューティングすることができます。
sssctl でサポートされるオプションには、SSSD キャッシュのバックアップや削除を行う client-data-backupcache-remove が含まれています。以前のリリースでは、キャッシュされたデータなしに SSSD を起動する必要がある場合は、管理者は手動でキャッシュファイルを削除する必要がありました。
このユーティリティーの機能に関する詳しい情報は sssctl --help を実行してください。

SSSD 設定ファイルの検証

以前のリリースでは、System Security Services Daemon (SSSD) は、/etc/sssd/sssd.conf ファイルを自動でチェックするツールが提供されていなかったので、サービスの起動に失敗した場合には管理者は設定ファイルの問題を検索する必要がありました。今回の更新により、sssctl コマンドの config-check オプションで設定ファイルの問題を特定することができるようになりました。さらに SSSD はサービスの起動後に設定ファイルの妥当性を自動的に確認し、不正な設定に対してレベル 0 のデバッグメッセージを表示します (BZ#988207、BZ#1072458)。

pki cert-find コマンドで呼び出し文字列をサポート

pki cert-find コマンドが強化され、文字列形式の呼び出しの理由をサポートするようになり、適切な数値の代わりに、Key_compromise などの文字列を --revocationReason オプションに渡すことができます。サポートされる呼び出し文字列の一覧は、以下のコマンドを実行して参照してください。
# pki cert-find --help
(BZ#1224365)

IdM でサーバーまたはレプリカのインストール時に個別のディレクトリーサーバーのオプションを設定することをサポート

Identity Management (IdM) の ipa-server-installipa-replica-install のコマンドが強化されました。新しい --dirsrv-config-file パラメーターにより、管理者は IdM のインストール中およびインストール後にディレクトリーサーバーのデフォルト設定を変更できるようになりました。たとえば、上記の状況で、セキュアな LDAP バインドを無効にするには、以下を実行します。
LDIF 形式の設定でテキストファイルを作成します。
dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off
インストールスクリプトに --dirsrv-config-file パラメーターとファイルを指定して、IdM サーバーのインストールを開始します。
# ipa-server-install --dirsrv-config-file filename.ldif
(BZ#825391)

IdM で admin グループと ipaservers ホストグループが使用可能

Identity Management (IdM) には以下の 2 つのグループが導入されました。
  • ユーザーグループ admins: このグループに所属すると、IdM で完全な管理者の権限が割り当てられます。
  • ホストグループ ipaservers: 完全な管理者権限がないユーザーにより、このグループのホストをレプリカの権限に昇格させることができます。IdM サーバーはすべてこのグループのメンバーです (BZ#1211595)。

IdM で Web UI での OTP 生成をサポート

Identity Management (IdM) は、Web UI でホストを追加する際にワンタイムパスワード (OTP) の生成をサポートするようになりました。Add host ダイアログの Generate OTP チェックボックスを選択します。ホストを追加すると、ウィンドウに生成された OTP が表示されます。ホストをドメインに参加させる際にこのパスワードを使用できます。この手順により、プロセスが簡素化され、強力な OTP を設定できます。OTP を上書きするには、ホストの詳細ページに移動して Action をクリックし、Reset One-Time-Password を選択します (BZ#1146860)。

sudo ルールを期限切れとしてマークする新しい sss_cache オプション

今回の更新では、System Security Services Daemon (SSSD) からの sss_cache コマンドが拡張されました。sudo ルールすべてを期限切れとマークするためのオプション -r-R が追加されました。これにより、管理者は次回の sudo 検索の際に、強制的に新しいルールを更新できるようになります。sudo ルールは、ユーザーやグループのエンティティーとは異なるアルゴリズムを使用して更新される点に注意してください。このメカニズムに関する情報は sssd-sudo(5) man ページを参照してください (BZ#1031074)。

新規パッケージ: custodiapython-jwcrypto

今回の更新では custodia パッケージとその依存関係 python-jwcrypto が Red Hat Enterprise Linux 7 に追加されました。
Custodia はシークレットの要求や配信を行う HTTP ベースのパイプラインのことで、認証、承認、要求処理、シークレット管理のストレージステージングを処理します。Custodia は現在、Red Hat Identity Management の内部サブシステムとしてのみサポートされます。
パッケージ python-jwcrypto は、Python の JavaScript Object Signing and Encryption (JOSE) のウェブ標準で、Custodia の依存関係としてインストールされます (BZ#1206288)。

新規パッケージ: python-gssapi

今回の更新では、Red Hat Enterprise Linux 7 に python-gssapi パッケージが追加され、Python 2 および 3 との互換性のある Generic Security Services API (GSSAPI) が提供されます。Identity Management (IdM) は、Python 2 のみをサポートする python-krbV および python-pykerberos の代わりに、このパッケージを使用します (BZ#1292139)。

新規パッケージ: python-netifaces

今回の更新では、Red Hat Enterprise Linux 7 に python-netifaces パッケージが追加されました。この Python モジュールは、オペレーティングシステムからシステムネットワークインターフェースの情報を読み込むことができます。Red Hat Identity Management (IdM) の依存関係として追加されました (BZ#1303046)。

新規パッケージ: mod_auth_openidc

今回の更新では、Red Hat Enterprise Linux 7 に mod_auth_openidc パッケージが追加されました。このパッケージにより、Apache HTTP サーバーをシングルサインオン (SSO) の OpenID Connect Relying Party として、または OAuth 2.0 Resource Server として機能させることができます。Web アプリケーションは、Keycloak のオープンソースプロジェクトや Red Hat Single Sign-On (SSO) 製品などの各種 OpenID Connect サーバー実装と対話するモジュールを使用できます (BZ#1292561)。

IdM で DNS の場所をサポート

今回の更新では、Identity Management (IdM) が統合された DNS サーバーに DNS の場所管理のサポートを追加することで、クロスサイトの実装を向上しました。以前のリリースでは、DNS レコードを使用して IdM サーバーを特定していたクライアントは、地理的ロケーションがリモートにあるサーバーと、ローカルのサーバーを区別することができませんでした。今回の更新では、クライアントは DNS 検出を使用して最寄りのサーバーを検索でき、最適な方法でネットワークを使用できるようになりました。そのため、管理者は、DNS の場所を管理して、IdM の Web ユーザーインターフェースおよびコマンドラインを使用してサーバーを割り当てることができるようになりました。

IdM で AD ドメインへの外部信頼を確立

Red Hat Enterprise Linux Identity Management (IdM) には、フォレスト内の Active Directory (AD) ドメインに対して外部信頼を確立するサポートが追加されました。これにより、AD フォレスト全体を信頼するのではなく、信頼関係を特定のドメインに制限することができます (BZ#1314786)。

IdM で別の UPN を使用したログインをサポート

Active Directory (AD) フォレストでは、デフォルトのドメイン名ではなくユーザー名に、異なるユーザープリンシパル名 (UPN) のサフィックスを関連付けることができるようになり、Identity Management (IdM) では、信頼された AD フォレストからのユーザーが別の UPN を使用してログインすることができるようになりました。
さらに System Security Services Daemon (SSSD) は、IdM サーバーが別の UPN をサポートしているかどうかを検出するようになりました。サポートされている場合には、SSSD は、クライアント上でこの機能を自動的に有効化します。
信頼された AD フォレストに対して UPN サフィックスの追加や削除を行うには、IdM マスター上で ipa trust-fetch-domains を実行して、IdM データベース内の信頼されたフォレストの情報を更新します。

IdM でサブ CA をサポート

以前のリリースでは、Identity Management (IdM) は IdM ドメイン内で発行された全証明書の署名に使用する証明局 (CA) を 1 つのみサポートしていました。今回のリリースでは、軽量のサブ CA を使用して、証明書の使用目的に合わせてより良く制御ができるようになりました。たとえば、特定の目的で作成されたサブ CA で発行した証明書のみを受け入れて、スマートカード CA などの他のサブ CA で発行した証明書を拒否するように、仮想プライベートネットワーク (VPN) サーバーを設定することができます。
certmonger で証明書を要求する際に IdM の軽量のサブ CA を指定することで、この機能がサポートされるようになりました。

SSSD で Kerberos のホストキータブの自動更新をサポート

以前のリリースでは System Security Services Daemon (SSSD) には Active Directory (AD) の Kerberos のホストキータブファイルを自動的に更新するサポートがありませんでした。セキュリティーの理由から有効期限のないパスワードを使用できない環境では、ファイルを手動で更新する必要がありました。今回の更新では、SSSD により、Kerberos のホストキータブファイルが自動的に更新されるようになりました。
SSSD は、/etc/sssd/sssd.conf ファイルの ad_maximum_machine_account_password_age パラメーターで設定した日数よりもマシンアカウントのパスワードが古いかどうかを 1 日に 1 回確認します。

IdM でユーザーのプリンシパルエイリアスをサポート

以前のリリースでは、Identity Management (IdM) はユーザー名を使用した認証のみをサポートしていましたが、環境によっては、メールアドレスやエイリアス名で認証を行う必要がある場合がありました。IdM が拡張され、プリンシパルエイリアスのサポートが追加されました。System Security Services Daemon (SSSD) が更新され、この機能がサポートされるようになりました。
エイリアス ualiasuser@example.com をアカウント user に追加するには、以下のコマンドを実行します。
# ipa user-add-principal user ualias user\\@example.com
エイリアスと併用する場合には kinit コマンドに -C オプションを、エンタープライズのプリンシパル名を使用する場合には -E オプションを使用してください。
# kinit -C ualias
# kinit -E user@example.com
(BZ#1328552、BZ#1309745)

SSSD のキャッシュの更新によるパフォーマンスの向上

以前のリリースでは、System Security Services Daemon (SSSD) はキャッシュの期限が過ぎると常に、キャッシュされたエントリーはすべて更新されていました。これにより、変更の必要のないエントリーに対して、クライアントやサーバー上で必要のないリソースを消費していました。SSSD は強化され、キャッシュされたエントリーで更新が必要かどうかがチェックされるようになりました。変更のないエントリーについては、タイムスタンプの値が増えて、この値は新しい SSSD データベース /var/lib/sss/db/timestamps_$domain.ldb に保存されます。今回の拡張により、グループなど、サーバー側でほぼ変更がないエントリーのパフォーマンスが向上されます (BZ#1290380)。

SSSD で IdM スキーマに保存される sudo ルールをサポート

以前のリリースでは、System Security Services Daemon (SSSD) は互換性のあるプラグインにより生成された ou=sudoers コンテナーを使用して sudo ルールを取得していました。SSSD は、Identity Management (IdM) ディレクトリースキーマに保存されている cn=sudo コンテナーの sudo ルールをサポートするように拡張されました。
この機能を有効にするには、/etc/sssd/sssd.conf ファイルの ldap_sudo_search_base パラメーターの指定を解除しました (BZ#789477)。

SSSD で大量の RID がある環境において AD クライアントの ID 範囲を自動的に調整

System Security Services Daemon (SSSD) サービスに含まれる自動 ID マッピングのメカニズムでは、ID 範囲ドメインをマージできるようになりました。ID 範囲の SSSD のデフォルトサイズは 200,000 です。大規模な Active Directory (AD) のインストールでは、RID (Relative ID) に対応するために Active Directory の RID が 200,000 を超えた場合には、管理者は SSSD に割り当てられた ID 範囲を手動で調整する必要がありました。
今回の機能拡張により、ID マッピングが有効になっている AD クライアントでは、SSSD が上記のような状況で自動的に ID 範囲を調整します。このため、管理者は手動で ID 範囲を調節する必要がなく、デフォルトの ID マッピングメカニズムは大規模な AD 環境でも機能します (BZ#1059972)。

新たな sssctl のオプション「remove-cache」

今回の更新では、sssctl ユーティリティーに remove-cache オプションが追加されました。このオプションは、ローカルの System Security Services Daemon (SSSD) データベースのコンテンツを削除して sssd サービスを再起動します。これにより、管理者は SSSD をクリーンな状態で起動して、キャッシュファイルを手動で削除する必要がなくなります (BZ#1007969)。

レガシーの IdM クライアントのパスワード変更

以前のリリースでは、Red Hat Enterprise Linux に slapi-nis のバージョンが含まれており、レガシーの Identity Management (IdM) クライアント上でパスワードの変更ができず、slapi-nis 互換性ツリー経由でクライアントにログインしているユーザーは、IdM の Web UI を使用するか、直接 Active Directory (AD) からしか、パスワードの更新ができませんでした。修正が適用されて、ユーザーはレガシーの IdM クライアントでパスワードを変更できるようになりました (BZ#1084018)。

ldapsearch コマンドで操作属性すべてが返される

LDAP の検索では IETF RFC 3673 に記載の操作属性がすべて返されるようになりました。検索で + 文字を使用すると、バインドされた識別名 (DN) が利用可能な操作属性すべてが返されます。返される結果は適用されるアクセス制御命令 (ACI) により限定される可能性があります。
検索例は以下のようになります。
ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com
この機能の追加情報は https://tools.ietf.org/html/rfc3673 を参照してください (BZ#1290111)。

ログのタイムスタンプの精度向上

今回の更新では、Directory Server ログのタイムスタンプの精度が向上されました。デフォルトで 1 秒単位の精度からナノ秒単位に改善されました。今回の強化により、Directory Server のイベントをより詳細にわたり分析でき、外部ログシステムが正しく Directory Server からのログを再構築して組み込むことができるようになりました。
以前のリリースでは、ログエントリーに以下の例のようなタイムスタンプが含まれていました。
[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
今回の更新では、同じログエントリーにおいて正確なタイムスタンプが含まれるようになりました。
[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
以前のタイムスタンプの形式に戻すには cn=confignsslapd-logging-hr-timestamps-enabled 属性を false に設定します (BZ#1273549)。

ユーザーパスワードを変更すると、shadowLastChange 属性が必ず更新される

以前のリリースでは、ユーザーがパスワードを変更すると passwordExpirationTime 属性は更新されますが、shadowLastChange 属性は更新されませんでした。Active Directory などの Directory Server と対話する可能性のあるシステムでは、両属性を更新する必要があるため、このような動作が原因で同期エラーが発生する可能性がありました。今回の更新では、ユーザーパスワードに変更があると、両属性が更新され、同期の問題が発生しなくなりました (BZ#1018944)。

ns-slapd で監査ログに失敗した操作を記録

以前のリリースでは、ns-slapd は問題なくディレクトリーに変更を加えられた場合にのみログを記録していました。今回の更新では、変更に失敗した場合に失敗した変更、内容、失敗の理由をロギングするサポートが追加されました。このサポートにより、ディレクトリーの内容の変更に失敗したアプリケーションのデバッグや、攻撃の危険性の検出が今までより簡単になります (BZ#1209094)。

Directory Server インスタンスのステータスを表示する新規ユーティリティー

Directory Server には status-dirsrv コマンドラインユーティリティーが含まれるようになり、1 つまたはすべてのインスタンスのステータスが出力されます。以下のコマンドを使用して、既存の全インスタンスの一覧を取得します。
status-dirsrv
固有のインスタンスのステータスを表示するには、インスタンスの名前をコマンドに追加します。追加の情報およびリターンコードの一覧は status-dirsrv(8) の man ページを参照してください (BZ#1209128)。

IdM で最大 60 のレプリカをサポート

以前のリリースでは、Identity Management (IdM) は IdM ドメイン毎に最大 20 のレプリカをサポートしていましたが、今回の更新で、IdM ドメインごとのレプリカのサポート数が 60 まで増加されました。

SSSD で /etc/sssd/conf.d/ からオプションの *.conf ファイルを読み取る

System Security Services Daemon (SSSD) は、/etc/sssd/conf.d/ から*.conf ファイルを読み込むように拡張されました。これにより、全クライアントにある一般的な /etc/sssd/sssd.conf ファイルを使用し、他の設定ファイルの他の設定を追加して個別のクライアントに合わせることができます。SSSD はまず、共通の /etc/sssd/sssd.conf ファイルを読み込んでから、/etc/sssd/conf.d/ にある他のファイルをアルファベット順に読み込みます。このデーモンは、同じパラメーターが別のファイルで複数回出現した場合には、最後に読み込んだ設定パラメーターを使用します (BZ#790113)。

スキーマでのクォート (quote) の使用を有効化する新規オプション

今回の更新では、スキーマディレクトリーでクォートを使用して以前のスタイルのスキーマへのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTES 環境変数が導入されました。この機能を有効にするには、以下の変数を /etc/sysconfig/dirsrv-INSTANCE 設定ファイルに設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1368484)

OpenLDAP で SHA2 パスワードのハッシュをサポート

Red Hat Enterprise Linux 7.3 の OpenLDAP サーバーでは、SHA2 サポートのモジュールが追加されました。 pw-sha2 モジュールを読み込むには、moduleload pw-sha2 という行を /etc/openldap/slapd.conf ファイルに追加してください。
上記を追加すると、OpenLDAP で以下のハッシュを使用してパスワードを保存できます。
  • SSHA-512
  • SSHA-384
  • SSHA-256
  • SHA-512
  • SHA-384
  • SHA-256 (BZ#1292568)

pki cert-request-find コマンドが完了した呼び出し要求のシリアル番号を表示

今回の更新では、pki サブコマンドの cert-request-find が完了した呼び出し要求の呼び出し証明書に割り当てられた証明書 ID を表示するようになりました (BZ#1224642)。

IdM パスワードポリシーで有効期限なしのパスワードを有効にできる

以前のリリースでは、Identity Management (IdM) のユーザーパスワードにはすべて有効期限の日付を定義する必要がありました。今回の更新では、管理者はパスワードポリシーの Max lifetime の値を 0 に設定することでユーザーパスワードを無期限に設定することができます。
新しいパスワードポリシーの設定は新規パスワードのみに適用される点に注意してください。変更を有効にするには、ユーザーはパスワードを更新する必要があります (BZ#826790)。

ipa-getkeytab で IdM サーバーを自動検出できる

Identity Management (IdM) サーバーで ipa-getkeytab ユーティリティーを実行している場合は、-s オプションを使用してサーバー名を指定する必要がなくなりました。このような場合には ipa-getkeytab ユーティリティーは自動的に IdM サーバーを検出するようになりました (BZ#768316)。

ipa-replica-manage ユーティリティーのサブコマンドの拡張

ipa-replica-manage ユーティリティーが拡張され、以下のサブコマンドで o=ipaca バックエンドが追加でサポートされるようになりました。
  • list-ruv
  • clean-ruv
  • abort-clean-ruv
さらに clean-dangling-ruv サブコマンドが ipa-replica-manage ユーティリティーに追加されました。これにより、付随的なレプリカ更新ベクトル (RUV) を自動的に削除できるようになりました (BZ#1212713)。

samba のバージョン 4.4.4 へのリベース

samba パッケージはアップストリームのバージョン 4.4.4 にアップグレードされて、旧バージョンに対して多くのバグ修正および機能拡張が加えられています。
  • WINS nsswitch モジュールは、WINS クエリーの libwbclient ライブラリーを使用するようになりました。このモジュールを使用する WINS 名を解決するには、winbind デーモンが実行中である必要がある点に注意してください。
  • winbind expand groups オプションのデフォルト値が 1 から 0 に変更されました。
  • smbget コマンドの -u および -g オプションは、Samba コマンドのパラメーターと一致するように -U オプションに変更されました。-U オプションは username[%password] の値を受け入れます。さらに smbgetrc 設定ファイルの username および password パラメーターは、user パラメーターに変更されました。
  • smbget コマンドの -P パラメーターが削除されました。
  • Kerberos の認証情報を使用した CUPS バックエンドで印刷するには、samba-krb5-printing パッケージをインストールして、適切に CUPS を設定する必要があります。
  • Kerberos 認証情報を使用した CUPS バックエンドで、Samba を印刷サーバーとして設定できるようになりました。これには samba-krb5-printing パッケージをインストールして適切に CUPS を設定してください。
  • Samba および CTDB のヘッダーファイルは samba のインストール時に自動的にインストールされなくなりました。
smbdnmbd または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba の起動前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルをダウングレードするサポートは行っていないのでご注意ください。
SMB プロトコル 3.1.1 と Linux カーネル CIFS モジュールの併用は試験段階にあり、Red Hat により提供されるカーネルではその機能を利用できないことに注意してください。
顕著な変更点に関する詳細情報は、更新前にアップストリームのリリースノートを参照してください。

AD DNS 更新を阻止する新しい net ads join オプション

net ads join コマンドには、クライアントが Active Directory (AD) に参加する際に、DNS サーバーがマシン名に更新されるのを防ぐ --no-dns-updates オプションが追加されました。このオプションにより、DNS サーバーでクライアントの更新が許可されないために DNS 更新に失敗してエラーメッセージが表示されてしまう場合に、管理者は DNS 登録を無視できるようになりました (BZ#1263322)。

NetBIOS 名を設定する新しい realm join オプション

realm join コマンドに、個別の NetBIOS 名を設定する --computer-name オプションが追加されました。これにより、管理者はホスト名とは別の名前を使用して、マシンをドメインに参加させることができるようになりました (BZ#1293390)。

DRMTool の名前が KRATool に変更

Certificate System (CS) の Data Recovery Manager (DRM) コンポーネントは Key Recovery Authority (KRA) と呼ばれるようになりました。この変更に合わせて一貫性を保つために、今回の更新では DRMTool ユーティリティーは KRATool に名前が変更されました。今回の移行が円滑に行えるように、互換性のシンボリックリンクが提供されている点にご注意ください。このリンクにより、スクリプトの参照など DRMTool は継続して機能します (BZ#1305622)。

OpenJDK 1.8.0 の明示的な依存関係

現在の PKI コードは OpenJDK 1.8.0 で機能することだけが検証されています。以前のリリースでは、PKI は別の一般的な java リンクに依存しており、このリンクは OpenJDK 1.8.0 を参照していることが仮定となっていました。さまざまな理由でこのような別の設定が変更される可能性があるために、設定の変更が原因で PKI に問題が発生する可能性がありました。
PKI を常に正しく機能させるために、その他の Java のインストールに関係なく、OpenJDK 1.8.0 の最新の更新を常に参照する jre_1.8.0_openjdk リンクだけに依存するように、PKI が変更されました (BZ#1347466)。

ipa *-find コマンドがメンバーエントリーを表示しない

Identity Management (IdM) ipa *-find コマンドの新しいデフォルト設定では、ホストグループなどのメンバーエントリーを表示しなくなりました。メンバーエントリーを大量に解決するとリソースを大量に消費し、コマンドの出力が長くなり解読できなくなる可能性があるので、デフォルトが変更されました。メンバーエントリーを表示するには、以下のように ipa *-find コマンドで --all オプションを指定してください。
# ipa hostgroup-find --all
(BZ#1354626)

Certificate System で CRL の開始 ID の設定をサポート

Red Hat Certificate System は、/etc/pki/default.cfg ファイルで pki_ca_starting_crl_number オプションを使用した証明書失効リスト (CRL: Certificate Revocation List) の開始 ID の設定をサポートするようになりました。これにより、管理者は Certificate System に発行済みの CRL が指定された認証局 (CA) を移行できるようになりました (BZ#1358439)。

発行者 DN を証明書に追加する新しい pki-server サブコマンド

Certificate Server が拡張されたために、新しい証明書レコードに発行者 DN が保存されるようになり、REST API の証明書検索による発行者 DN での証明書のフィルタリングをサポートできるようになりました。発行者 DN を既存の証明書レコードに追加するには、以下を実行してください。
# pki-server db-upgrade
(BZ#1305992)

Certificate System で以前の CRL を削除

以前のリリースでは、ファイルベースの証明書失効リスト (CRL) の公開機能が Certificate System で有効になっている場合は、このサービスにより、以前のファイルが削除されずに、定期的に新しい CRL ファイルが作成されており、Certificate System を実行するシステムは最終的に容量がなくなる可能性がありました。この問題に対処するために、/etc/pki/pki-tomcat/ca/CS.cfg ファイルに、以下の新しい設定オプションが 2 つ追加されました。
  • maxAge: ファイルが失効して削除されるまでの日数を設定します。デフォルトは 0 (削除なし) です。
  • maxFullCRLs: CRL の最大保存数を設定します。新しいファイルが公開されると、最も古いファイルが削除されます。デフォルトは 0 (制限なし) です。
これらのオプションが追加された結果、Certificate System が以前の CRL ファイルを処理する方法を設定できるようになりました (BZ#1327683)。

クローン作成のために pkispawn の設定で証明書のニックネームを指定

クローンのインストール中に、クローンは pkispawn 設定ファイルの pki_clone_pkcs12_path パラメーターで指定した PKCS #12 ファイルからのシステム証明書をインポートします。以前のリリースでは、PKCS #12 ファイルの証明書のニックネームを指定する必要はありませんでした。
新しい IPA 要件が追加されたために、証明書のインポートメカニズムを変更する必要がありました。今回の更新では、証明書が正しいトラストの属性を指定してインポートされるようになり、PKCS #12 ファイルの CA 署名の証明書および監査署名の証明書のニックネームを以下のパラメーターに指定する必要があります。
  • pki_ca_signing_nickname
  • pki_audit_signing_nickname (BZ#1321491)

既存の CA 証明書とキーを使用した Certificate System のデプロイ

以前のリリースでは、Certificate System は証明局 (CA) の証明書のキーをシステム内で生成していました。今回の更新では、キーの生成はオプションとなり、Certificate System は、既存の CA 証明書とキーの再利用をサポートするようになりました。CA 証明書とキーは、PKCS #12 ファイルやハードウェアセキュリティーモジュール (HSM) を使用して提供できます。このメカニズムにより、管理者は既存の CA を Certificate System に移行できるようになりました (BZ#1289323)。

クライアントとしての役割を果たすインスタンスの個別暗号化一覧

この機能が導入される前は、Certificate System インスタンスがサーバーだけでなく、クライアントとして機能している場合に server.xml ファイルに指定された暗号化一覧を使用していました。場合によっては、特定の暗号化が推奨されないことや、機能しないことがありました。今回の更新では、Certificate System のサブシステム 2 台の間の通信を行うクライアントとしてサーバーが機能している場合に、許可されている SSL 暗号化一覧を指定することができるので、管理者はより厳密な制御ができるようになりました。この暗号化一覧は、サーバー上に保存されている一覧とは異なります (BZ#1302136)。

BEGIN/END PKCS7 ラベルの付いた PKCS #7 証明書チェーンのサポート

RFC 7468 に準拠するために、PKI ツールは、BEGIN/END CERTIFICATE CHAIN ラベルではなく、BEGIN/END PKCS7 ラベルの付いた PKCS #7 証明書チェーンを受け入れ、生成するようになりました (BZ#1353005)。

krb5 のバージョン 1.14.1 へのリベース

krb5パッケージがアップストリームバージョン 1.14.1 にアップグレードされ、複数の機能拡張、新機能、バグ修正が追加されています。特に、このパッケージには、セキュリティーを向上するために認証インジケーターサポートが実装されています。詳しい情報は、http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html (BZ#1292153) を参照してください。

Kerberos クライアントで設定スニペットをサポート

/etc/krb5.conf ファイルは、/etc/krb5.conf.d/ ディレクトリーから設定スニペットを読み込むようになり、既存の配信設定標準や、暗号化ポリシー管理に準拠できるようになりました。そのため、ユーザーは設定ファイルを分割して /etc/krb5.conf.d/ ディレクトリーにスニペットを保存できるようになりました (BZ#1146945)。

IdM のバージョン 4.4.0 へのリベース

ipa* パッケージはアップストリームのバージョン 4.4.0 にアップグレードされて、旧バージョンに対して多くのバグ修正および機能拡張が加えられています。
  • プロビジョニングの加速化、Kerberos 認証、多数のメンバーを使用したユーザーおよびグループ操作など Identity Management (IdM) が向上されました。
  • DNS ロケーションが追加され、支店にあるクライアントはリモートサーバーにフォールバックできるローカルサーバーのみに問い合わせできるようになりました。
  • 集約されたレプリケーショントポロジー管理
  • サポートありのレプリケーションパートナーの数はレプリカ 20 個から 60 個に増加しました。
  • ワンタイムパスワード (OTP) および RADIUS の認証インジケーターサポート。ホストおよびサービスに対して個別に認証インジケーターを有効化できます。
  • サブ CA サポートにより、管理者は、特定のサービスの証明書を発行する個別の証明局を作成できるようになります。
  • Active Directory (AD) ユーザー向けのスマートカードのサポートが拡張され、管理者はスマートカードの証明書を AD に保存できるようになりました。保存できない場合は、IdM に保存されます。
  • IdM サービスの API のバージョン化
  • AD での既存のトラストの確立のサポート
  • 代わりとなる AD ユーザーのプリンシパル名 (UPN) のサフィックス (BZ#1292141)

SSSD で AD サーバーから autofs マップを取得

/etc/sssd/sssd.conf ファイルの [domain] セクションの autofs_provider=ad の設定を使用できるようになりました。この設定により、System Security Services Daemon (SSSD) は、Active Directory サーバーからの autofs マッピングをフェッチします。
以前のリリースでは、AD の autofs マッピングを保存する必要がある場合には、AD サーバーの管理者は autofs_provider=ldap の設定を使用して、手動でバインドメソッド、検索ベース、その他のパラメーターなど LDAP プロバイダーの設定を行う必要がありました。今回の更新では、sssd.confautofs_provider=ad しか設定する必要はありません。
SSSD では、AD に保存されている autofs のマッピングは RFC2307: https://tools.ietf.org/html/rfc2307 で定義されている形式に準拠する必要があります (BZ#874985)。

dyndns_server オプションで動的 DNS の更新を受信する DNS サーバーを指定

System Security Services Daemon (SSSD) は、/etc/sssd/sssd.conf ファイルの dyndns_server オプションをサポートするようになりました。このオプションは、dyndns_update オプションが有効になっている場合には、DNS レコードで自動的に更新される DNS サーバーを指定します。
たとえば、DNS サーバーがアイデンティティーサーバーと異なる環境で便利です。このような場合には、dyndnds_server を使用することで、SSSD が指定の DNS サーバー上で DNS レコードを更新できるようになります (BZ#1140022)。

SSSD で full_name_format=%1$s を使用して AD で信頼されるユーザーの出力名を略式名に設定することをサポート

以前のリリースでは、トラストの設定において、特定の System Security Services Daemon (SSSD) 機能は、/etc/sssd/sssd.conf ファイルの full_name_format オプションのデフォルト値を使用する必要がありました。full_name_format=%1$s を使用して、信頼された Active Directory (AD) ユーザーの出力形式を略式名に設定することで、他の機能で問題が発生していました。
今回の更新では、出力形式と、ユーザー名の内部での表現を切り離し、その他の SSSD 機能を破損することなく full_name_format=%1$s を使用できるようになりました。
default_domain_suffix オプションが sssd.conf で指定されている場合以外は、入力する名前には、完全修飾名を指定する必要がある点に注意してください (BZ#1287209)。

AD DNS のホスト名を使用した IdM のクライアントの設定と制約に関する説明をドキュメントに追加

Identity Management (IdM) のドキュメントが強化され、信頼された Active Directory (AD) ドメインの DNS 名前空間に配置されている IdM クライアントの設定に関する説明が追加されています。これは、推奨の設定でなく、制約がある点に注意してください。たとえば、シングルサインオンの代わりにこれらのクライアントにアクセスできるには、パスワード認証のみとなっています。Red Hat は、常に AD が所有するゾーンではない DNS ゾーンに IdM クライアントをデプロイして、IdM ホスト名で IdM クライアントにアクセスすることを推奨します。

Certificate System でインストール別の SSL 暗号化設定をサポート

以前のリリースでは、インストール時に使用するデフォルトの暗号化とは重複しないカスタマイズされた暗号化セットが既存の Certificate Server にある場合には、既存のインスタンスと連携させるために、新規インスタンスはインストールできませんでした。今回の更新では、Certificate System は 2 段階インストールを使用して SSL 暗号化をカスタマイズでき、この問題を回避できるようになりました。Certificate System インスタンスのインストール中に暗号化を設定するには、以下を実行してください。
1. pki_skip_configuration=True オプションが含まれるデプロイメント設定ファイルを用意します。
2. デプロイメント設定ファイルを pkispawn コマンドに渡して、インストールの最初の部分を開始します。
3. /var/lib/pki/<instance>/conf/server.xml ファイルの sslRangeCiphers オプションにおいて暗号化を設定します。
4. デプロイメント設定ファイルの pki_skip_configuration=True オプションは pki_skip_installation=True に置き換えます。
5. 同じ pkispawn コマンドを実行して、インストールを完了します (BZ#1303175)。

レプリカ解放のタイムアウトの設定に関する新しい属性

以前のリリースでは、マスターが同時に更新を受信する複数のマスターレプリケーション環境で、1 つのマスターがレプリカへの専用アクセスを取得して、ネットワーク接続が遅いなどの問題が原因で非常に長い間そのアクセスを保持することができました。この期間中は、他のマスターは、同じレプリカにアクセスできず、レプリケーションプロセスのかかる時間が大幅に増加していました。
今回の更新では、nsds5ReplicaReleaseTimeout という新しい設定属性が追加され、秒数でタイムアウトを指定することができます。指定したタイムアウトの期間を過ぎると、マスターはレプリカを開放して、他のマスターがそのレプリカにアクセスして、更新を送信することができるようになります (BZ#1349571)。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。