Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第37章 認証および相互運用性

コンテナー内の SSSD が利用可能

コンテナー内の System Security Services Daemon (SSSD) は、テクノロジープレビューとして提供され、これにより Red Hat Enterprise Linux Atomic Host 認証サブシステムを Red Hat Identity Management や Microsoft Active Directory といった集中型アイデンティティープロバイダーに接続することができます。
この新イメージをインストールするには、atomic install rhel7/sssd コマンドを使用します (BZ#1200143)。

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしてサポートされています。AD sudo プロバイダーを有効にするには sudo_provider=ad 設定を sssd.conf ファイルの [domain] セクションに追加します (BZ#1068725)。

DNSSEC が Identity Management でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management サーバーで DNSSEC (DNS Security Extension) に対応するようになりました。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する拡張セットです。Identity Management サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた Identity Management サーバーは他の DNS サーバーから取得する DNS の答えを DNSSEC を使って認証します。Red Hat Enterprise Linux ネットワークガイド (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載の推奨命名に準じた設定ではない DNS ゾーンの場合は、その可用性に影響する場合があるため注意してください (BZ#1115294)。

Nunc Stans イベントフレームワークが Directory Server で利用可能

複数の同時接続を処理する新たな Nunc Stans フレームワークがテクノロジープレビューとして追加されました。このフレームワークを使用すると、パフォーマンスを低下させずに数千のアクティブな接続をサポートすることができます。これはデフォルトでは無効になっています (BZ#1206301)。

secrets をサービスとしてサポート

今回の更新では、レスポンダー secrets がテクノロジープレビューとして System Security Services Daemon (SSSD) に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できるようになります。これにより SSSD は、ローカルデータベースに秘密を保存するか、Custodia サーバーに転送することが可能になりました (BZ#1311056)。

IdM ウェブ UI でスマートカードを使用したログインが可能

Identity Management (IdM) ウェブ UI を使用して、ユーザーがスマートカードを使用したログインをできるようになりました。この機能は実験的で、サポート対象となっていないことに注意してください (BZ#1317379、BZ#1346883、BZ#1343422)。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張では、コマンドによる動作が互換性のない方法で変更されていました。今回の更新では、ユーザーは IdM API が変更されても、既存のツールやスクリプトを引き続き使用することができます。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信は可能になっています。例えば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。
API に使用に関する詳細情報は、https://access.redhat.com/articles/2728021 を参照して下さい (BZ#1298286)。