第37章 認証および相互運用性

コンテナー内の SSSD が利用可能

コンテナー内の System Security Services Daemon (SSSD) は、テクノロジープレビューとして提供され、これにより Red Hat Enterprise Linux Atomic Host 認証サブシステムを Red Hat Identity Management や Microsoft Active Directory といった集中型アイデンティティープロバイダーに接続することができます。
この新イメージをインストールするには、atomic install rhel7/sssd コマンドを使用します (BZ#1200143)。

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしてサポートされています。AD sudo プロバイダーを有効にするには sudo_provider=ad 設定を sssd.conf ファイルの [domain] セクションに追加します (BZ#1068725)。

DNSSEC が Identity Management でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management サーバーで DNSSEC (DNS Security Extension) に対応するようになりました。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する拡張セットです。Identity Management サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた Identity Management サーバーは他の DNS サーバーから取得する DNS の答えを DNSSEC を使って認証します。Red Hat Enterprise Linux ネットワークガイド (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載の推奨命名に準じた設定ではない DNS ゾーンの場合は、その可用性に影響する場合があるため注意してください (BZ#1115294)。

Nunc Stans イベントフレームワークが Directory Server で利用可能

複数の同時接続を処理する新たな Nunc Stans フレームワークがテクノロジープレビューとして追加されました。このフレームワークを使用すると、パフォーマンスを低下させずに数千のアクティブな接続をサポートすることができます。これはデフォルトでは無効になっています (BZ#1206301)。

secrets をサービスとしてサポート

今回の更新では、レスポンダー secrets がテクノロジープレビューとして System Security Services Daemon (SSSD) に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できるようになります。これにより SSSD は、ローカルデータベースに秘密を保存するか、Custodia サーバーに転送することが可能になりました (BZ#1311056)。

IdM ウェブ UI でスマートカードを使用したログインが可能

Identity Management (IdM) ウェブ UI を使用して、ユーザーがスマートカードを使用したログインをできるようになりました。この機能は実験的で、サポート対象となっていないことに注意してください (BZ#1317379、BZ#1346883、BZ#1343422)。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張では、コマンドによる動作が互換性のない方法で変更されていました。今回の更新では、ユーザーは IdM API が変更されても、既存のツールやスクリプトを引き続き使用することができます。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信は可能になっています。例えば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。
API に使用に関する詳細情報は、https://access.redhat.com/articles/2728021 を参照して下さい (BZ#1298286)。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。