Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第5章 認証および相互運用性
コンテナーの SSSD が完全にサポートされるようになりました。
System Security Services Daemon (SSSD) を提供する rhel7/sssd コンテナーイメージは、テクノロジープレビュー機能ではなくなりました。これで、イメージが完全にサポートされるようになります。
rhel7/ipa-server
コンテナーイメージは依然としてテクノロジープレビュー機能であることに注意してください。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services を参照してください。(BZ#1467260)
Identity Management が FIPS に対応
この機能強化により、Identity Management (IdM) は Federal Information Processing Standard (FIPS) をサポートします。これにより、FIPS の基準を満たす必要がある環境で IdM を実行できます。FIPS モードを有効にして IdM を実行するには、FIPS モードを有効にして Red Hat Enterprise Linux 7.4 を使用し、IdM 環境ですべてのサーバーをセットアップする必要があります。
以下はできないことに注意してください。
- FIPS モードを無効にしてからインストールした既存の IdM サーバーで FIPS モードを有効にする。
- FIPS モードを無効にして既存の IdM サーバーを使用する場合に FIPS モードでレプリカをインストールする。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#prerequisites を参照してください。(BZ#1125174)
SSSD は、ユーザーがスマートカードで認証する際の Kerberos チケットの取得に対応しています。
System Security Services Daemon (SSSD) が、Kerberos PKINIT 事前認証メカニズムに対応するようになりました。Identity Management (IdM) ドメインに登録されているデスクトップクライアントシステムに対してスマートカードを使用して認証する場合、認証が成功すると、ユーザーは有効な Kerberos Ticket-Granting Ticket (TGT) を受け取ります。その後、TGT を使用して、クライアントシステムからさらにシングルサインオン (SSO) 認証を受けることができます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-pkinit-auth.html を参照してください。(BZ#1200767, BZ#1405075)
SSSD を使用すると、同じスマートカード証明書を使用して別のユーザーアカウントにログインできます。
以前では、System Security Services Daemon (SSSD) では、すべての証明書を 1 人のユーザーに一意にマッピングする必要がありました。スマートカード認証を使用する場合、複数のアカウントを持つユーザーは、同じスマートカード証明書を使用してこれらすべてのアカウントにログインできませんでした。たとえば、個人アカウントと機能アカウント (データベース管理者アカウントなど) を持つユーザーは、個人アカウントにのみログインできました。
今回の更新により、SSSD では証明書を単一のユーザーに一意にマッピングする必要がなくなりました。これにより、1 つのスマートカード証明書で、別のアカウントにログインできるようになりました。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html を参照してください。(BZ#1340711, BZ#1402959)
IdM Web UI により、スマートカードログインが有効になります。
Identity Management Web UI を使用すると、スマートカードを使用してユーザーがログインできます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-web-ui-auth.html を参照してください。(BZ#1366572)
新規パッケージ: keycloak-httpd-client-install
keycloak-httpd-client-install パッケージは、Red Hat Single Sign-On (RH-SSO)フェデレーションされたアイデンティティープロバイダー(IdP)クライアントとして登録する際に、Apache
httpd
認証モジュールの設定を自動化および簡素化できるさまざまなライブラリーおよびツールを提供します。
RH-SSO の詳細は、https://access.redhat.com/products/red-hat-single-sign-on を参照してください。
この更新の一環として、Red Hat Enterprise Linux に新しい依存関係が追加されました。
- python-requests-oauthlib パッケージ: このパッケージは、python-requests パッケージに OAuth ライブラリーサポートを提供します。これにより、python-requests が OAuth を認証に使用できるようになります。
- python-oauthlib パッケージ: このパッケージは、OAuth 認証メッセージの作成および使用を提供する Python ライブラリーです。これは、メッセージトランスポートを提供するツールと併用されることを目的としています。(BZ#1401781, BZ#1401783, BZ#1401784)
新しい Kerberos 認証情報キャッシュタイプ: KCM
今回の更新で、
kcm
という名前の新しい SSSD サービスが追加されました。このサービスは、sssd-kcm サブパッケージに含まれています。
kcm
サービスがインストールされたら、Kerberos ライブラリーが KCM
という名前の新しい認証情報キャッシュタイプを使用するように設定できます。KCM 認証情報キャッシュタイプを設定すると、sssd-kcm
サービスが認証情報を管理します。
KCM 認証情報キャッシュタイプは、コンテナー化された環境に適しています。
- KCM を使用すると、
kcm
サービスがリッスンする UNIX ソケットのマウントに基づいて、オンデマンドでコンテナー間で認証情報キャッシュを共有できます。 kcm
サービスは、RHEL がデフォルトで使用する KEYRING 認証情報キャッシュタイプとは異なり、カーネル外のユーザー空間で実行します。KCM を使用すると、選択したコンテナーでのみkcm
サービスを実行できます。KEYRING を使用すると、すべてのコンテナーがカーネルを共有するため、認証情報キャッシュを共有します。
また、KCM 認証情報キャッシュタイプは FILE ccache タイプとは異なり、キャッシュコレクションに対応します。
詳細は、man ページの sssd-kcm(8) を参照してください。(BZ#1396012)
AD ユーザーは Web UI にログインして、セルフサービスページにアクセスできます。
以前は、Active Directory (AD)ユーザーは、コマンドラインから
kinit
ユーティリティーを使用してのみ認証できました。この更新により、AD ユーザーは Identity Management (IdM) Web UI にログインすることもできます。IdM 管理者は、ユーザーがログインできるようにするには、AD ユーザーの ID オーバーライドを作成する必要があります。
これにより、AD ユーザーは IdM Web UI を介してセルフサービスページにアクセスできるようになります。セルフサービス ページには、AD ユーザーの ID オーバーライドの情報が表示されます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/using-the-ui.html#ad-users-idm-web-ui を参照してください。(BZ#872671)
SSSD により、SSSD サーバーモードで AD サブドメインの設定が可能になります。
以前では、System Security Services Daemon (SSSD) は自動的に信頼された Active Directory (AD) ドメインを設定していました。今回の更新で、SSSD は、参加しているドメインと同じ方法で、信頼できる AD ドメインに特定のパラメーターを設定することに対応しました。
その結果、SSSD が通信するドメインコントローラーなど、信頼されるドメインに個別の設定を設定できます。これを行うには、
/etc/sssd/sssd.conf
ファイルに、このテンプレートに続く名前でセクションを作成します。
[domain/main_domain/trusted_domain]
たとえば、メインの IdM ドメイン名が ipa.com で、信頼されている AD ドメイン名が ad.com の場合、対応するセクション名は次のようになります。
[domain/ipa.com/ad.com]
(BZ#1214491)
SSSD は、AD 環境でユーザーおよびグループの検索と、短縮名を使用した認証に対応しています。
以前は、System Security Services Daemon (SSSD) は、デーモンがスタンドアロンドメインに参加している場合にのみ、ユーザーとグループの解決と認証のために、ドメインコンポーネントなしのユーザー名 (ショートネームとも呼ばれる) をサポートしていました。現在、このような環境のすべての SSSD ドメインで、このような目的で短縮名を使用できます。
- Active Directory (AD) に参加しているクライアント
- AD フォレストと信頼関係を持つ Identity Management (IdM) デプロイメント
すべてのコマンドの出力形式は、短縮名を使用しても常に完全修飾されています。この機能は、ドメインの解決順序の一覧を以下のいずれかの方法 (優先度の高い順に表示) で設定すると、デフォルトで有効になります。
- ローカルで、
/etc/sssd/sssd.conf
ファイルの[sssd]
セクションでdomain_resolution_order
オプションを使用してリストを設定します。 - ID ビューを使用する方法
- グローバルで、IdM 設定での方法
この機能を無効にするには、
/etc/sssd/sssd.conf
ファイルの [domain/example.com]
セクションで use_fully_qualified_names
オプションを True
に設定します。(BZ#1330196)
SSSD は、UID または SID を使用しないセットアップで、ユーザーおよびグループの解決、認証、および認可に対応します。
従来の System Security Services Daemon (SSSD) デプロイメントでは、ユーザーとグループに POSIX 属性が設定されているか、SSSD が、Windows のセキュリティー識別子 (SID) に基づいてユーザーとグループを解決できます。
今回の更新で、LDAP を ID プロバイダーとして使用する設定で、UID または SID が LDAP ディレクトリーに存在しない場合でも、SSSD が次の機能をサポートするようになりました。
- D-Bus インターフェイスを介したユーザーおよびグループの解決
- Pluggable Authenticaton Module (PAM) インターフェイスを介した認証および承認 (BZ#1425891)
SSSD で sssctl user-checks コマンドが導入されました。これは、1 回の操作で SSSD の基本機能をチェックします。
sssctl
ユーティリティーに、user-checks
という名前の新しいコマンドが含まれるようになりました。sssctl user-checks コマンドは、ユーザールックアップ、認証、および認可のバックエンドとして System Security Services Daemon (SSSD)を使用するアプリケーションの問題のデバッグに役立ちます。
- sssctl user-checks [USER_NAME] コマンドは、NSS (Name Service Switch)および D-Bus インターフェイスの InfoPipe レスポンダーで利用可能なユーザーデータを表示します。表示されるデータは、ユーザーが
system-auth
のプラグ可能な認証モジュール(PAM)サービスを使用してログインすることを許可されているかどうかを示します。 - sssctl user-checks チェック認証または別の PAM サービスで使用できる追加オプション。
sssctl user-checks の詳細は、sssctl user-checks --help コマンドを使用します。(BZ#1414023)
サービスとしてのシークレットへのサポート
今回の更新で、
secrets
という名前のレスポンダーが System Security Services Daemon (SSSD)に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できます。これにより、SSSD はローカルデータベースに秘密を保存したり、リモートの Custodia サーバーに転送したりできます。(BZ#1311056)
IdM を使用すると、外部 DNS サーバーで IdM DNS レコードの半自動アップグレードが可能になります。
外部 DNS サーバーで Identity Management (IdM) DNS レコードの更新を簡単にするために、IdM では ipa dns-update-system-records --dry-run --out [file] コマンドが導入されました。このコマンドは、
nsupdate
ユーティリティーで受け入れられる形式でレコードの一覧を生成します。
生成されたファイルを使用して、Transaction Signature (TSIG) プロトコルまたは TSIG (GSS-TSIG) の GSS アルゴリズムで保護された標準の動的 DNS 更新メカニズムを使用して、外部 DNS サーバーのレコードを更新できます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/dns-updates-external.html を参照してください。(BZ#1409628)
IdM が、SHA-256 証明書および公開鍵フィンガープリントを生成するようになりました。
以前では、Identity Management (IdM) は、証明書および公開鍵にフィンガープリントを生成する際に MD5 ハッシュアルゴリズムを使用していました。セキュリティーを向上させるため、IdM は、前述のシナリオで SHA-256 アルゴリズムを使用するようになりました。(BZ#1444937)
IdM は、スマートカード証明書をユーザーアカウントにリンクするための柔軟なマッピングメカニズムに対応します。
以前は、Identity Management (IdM) で特定のスマートカードに対応するユーザーアカウントを見つける唯一の方法は、スマートカード証明書全体を Base64 エンコード DER 文字列として提供することでした。今回の更新で、証明書文字列そのものではなく、スマートカード証明書の属性を指定してユーザーアカウントを検索することもできるようになりました。たとえば、管理者は、特定の認証局 (CA) が発行したスマートカード証明書を IdM のユーザーアカウントにリンクするために、一致ルールとマッピングルールを定義できるようになりました。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html#sc-one-card-multiple-accounts-links を参照してください。(BZ#1402959)
新しいユーザー空間ツールにより、より便利な LMDB デバッグが可能になりました。
今回の更新で、
/usr/libexec/openldap/
ディレクトリーに mdb_copy
、mdb_dump
、mdb_load
、および mdb_stat
ツールが追加されました。この追加には、man/man1
サブディレクトリーに関連する man ページが含まれます。この新しいツールは、Lightning Memory-Mapped Database (LMDB) バックエンドに関連する問題のデバッグにのみ使用します。(BZ#1428740)
openldap がバージョン 2.4.44 にリベースされました。
openldap パッケージがアップストリームバージョン 2.4.44 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、この新しいバージョンでは、多くのレプリケーションバグおよび Lightning Memory-Mapped Database (LMDB) バグが修正されました。(BZ#1386365)
Identity Management での DNS ルックアップのセキュリティー改善とサービスプリンシパルルックアップの堅牢性
Kerberos クライアントライブラリーは、Ticket-Granting Server (TGS) 要求の発行時にホスト名の正規化を試行しなくなりました。この機能は、以下を改善します。
- この機能により、従来は正規化時に必要であった DNS ルックアップが不要になり、セキュリティーが向上します
- クラウドやコンテナー化されたアプリケーションなど、より複雑な DNS 環境におけるサービスプリンシパルルックアップの堅牢性
ホストおよびサービスプリンシパルで、正しい完全修飾ドメイン名 (FQDN) を指定していることを確認してください。この動作の変更により、Kerberos は、短縮名など、プリンシパルの他の形式の名前を解決しようとはしません。(BZ#1404750)
samba がバージョン 4.6.2 にリベースされました。
samba パッケージがバージョン 4.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- Samba は、winbindd サービスの開始前に ID マッピング設定を検証するようになりました。設定が無効な場合、winbindd は起動に失敗します。testparm ユーティリティーを使用して、
/etc/samba/smb.conf
ファイルを検証します。詳細は、smb.conf の man ページのIDENTITY MAPPING CONSIDERATIONS
セクションを参照してください。 - Windows 10 からプリンタードライバーをアップロードできるようになりました。
- 以前は、rpc server dynamic port range パラメーターのデフォルト値は 1024- 1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新します。
- net ads unregister コマンドが、ドメインを離れる際に、Active Directory DNS ゾーンからホストの DNS エントリーを削除できるようになりました。
- smb2 leases パラメーターで、SMB 2.1 リースがデフォルトで有効になりました。SMB リースを使用すると、クライアントがファイルを積極的にキャッシュできます。
- セキュリティーを向上させるため、NT LAN マネージャーバージョン 1 (NTLMv1) プロトコルがデフォルトで無効になりました。非セキュアな NTLMv1 プロトコルが必要な場合は、
/etc/samba/smb.conf
ファイルの ntlm auth パラメーターを yes に設定します。 - イベント スクリプトと対話するために、ctdb ユーティリティーに event サブコマンドが追加されました。
- idmap_hash ID マッピングバックエンドは非推奨としてマークされ、今後の Samba バージョンで削除されます。
- 非推奨の user パラメーターおよび username パラメーターのみ が削除されました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンが起動すると、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
重要な変更の詳細は、更新の前にアップストリームのリリースノートを参照してください。(BZ#1391954)
authconfig は、スマートカードでユーザーを認証するために SSSD
を有効化できる
この新機能により、authconfig コマンドは、スマートカードでユーザーを認証するように System Security Services Daemon (SSSD)を設定できます。以下に例を示します。
# authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall
今回の更新で、pam_pkcs11 がインストールされていないシステムでスマートカード認証を実行できるようになりました。ただし、pam_pkcs11 がインストールされている場合は、--smartcardmodule=sssd オプションは無視されます。代わりに、
/etc/pam_pkcs11/pam_pkcs11.conf で定義された最初の pkcs11_
module がデフォルトとして使用されます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/auth-idm-client-sc.html を参照してください。(BZ#1378943)
authconfig がアカウントロックを有効にできるようになりました。
今回の更新で、authconfig コマンドの --enablefaillock オプションが追加されました。このオプションを有効にすると、15 分以内に連続して 4 回ログインに失敗すると、設定されたアカウントが 20 分間ロックされます。(BZ#1334449)
IdM サーバーのパフォーマンスの改善
Identity Management (IdM) サーバーのパフォーマンスは、一般的なワークフローおよびセットアップの多くで向上しています。この改善には以下が含まれます
- IdM サーバー管理フレームワーク内のラウンドトリップを減らすことで、Vault パフォーマンスが向上しました。
- IdM サーバー管理フレームワークは、内部通信および認証に費やす時間を短縮するように調整されています。
- Directory Server 接続管理は、
nunc-stans
フレームワークを使用することで、よりスケーラブルになりました。 - 新規インストールでは、Directory Server が、サーバーのハードウェアリソースに基づいて、データベースエントリーキャッシュとスレッド数を自動調整するようになりました。
IdM Web UI のデフォルトのセッション有効期限が変更されました。
以前では、ユーザーがユーザー名とパスワードを使用して Identity Management (IdM) の Web UI にログインすると、Web UI は、20 分間操作しないと自動的にユーザーをログアウトしていました。この更新により、デフォルトのセッションの長さは、ログイン操作時に取得した Kerberos チケットの有効期限と同じになります。デフォルトのセッションの長さを変更するには、
/etc/ipa/default.conf
ファイルの kinit_lifetime オプションを使用して、httpd
サービスを再起動します。(BZ#1459153)
dbmon.sh スクリプトは、インスタンス名を使用して Directory Server インスタンスに接続するようになりました。
dbmon.sh シェルスクリプトを使用すると、Directory Server データベースおよびエントリーキャッシュの使用状況を監視できます。今回の更新で、スクリプトで HOST および PORT 環境変数が使用されなくなりました。セキュアなバインドをサポートするために、スクリプトは SERVID 環境変数から Directory Server インスタンス名を読み取り、サーバーにセキュアな接続が必要な場合にそれを使用してホスト名、ポート、および情報を取得するようになりました。たとえば、slapd-localhost インスタンスを監視するには、次のように入力します。
SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh
(BZ#1394000)
Directory Server が SSHA_512
パスワードストレージスキームをデフォルトとして使用するようになりました。
以前は、Directory Server は、cn=config エントリーの passwordStorageScheme および nsslapd-rootpwstoragescheme パラメーターで設定されたデフォルトのパスワードストレージスキームとして、弱い 160 ビットのソルトされたセキュアハッシュアルゴリズム(SSHA)を使用していました。セキュリティーを向上させるために、両方のパラメーターのデフォルトが、強力な 512 ビット SSHA スキーム (SSHA_512) に変更されました。
新しいデフォルトが使用されます。
- 新しい Directory Server インストールを実行する場合。
- passwordStorageScheme パラメーターが設定されていない場合に、userPassword 属性に保存されているパスワードを更新する場合。
- nsslapd-rootpwstoragescheme パラメーターが設定されていない場合や、nsslapd-rootpw 属性に設定された Directory Server マネージャーパスワードを更新する場合。(BZ#1425907)
Directory Server が tcmalloc
メモリーアロケーターを使用するようになりました。
Red Hat Directory Server は、
tcmalloc
メモリーアロケーターを使用するようになりました。以前使用されていた標準の glibc
アロケーターにはより多くのメモリーが必要でした。また、特定の状況では、サーバーがメモリー不足になる可能性がありました。tcmalloc
メモリーアロケーターを使用すると、Directory Server に必要なメモリーが少なくなり、パフォーマンスが向上します。(BZ#1426275)
Directory Server が nunc-stans
フレームワークを使用するようになる
nunc-stans
イベントベースのフレームワークが Directory Server に統合されました。以前は、多くの同時着信接続が Directory Server に確立されていると、パフォーマンスが低下する場合がありました。今回の更新で、サーバーはパフォーマンスの低下なしに、大量の接続を処理できるようになりました。(BZ#1426278, BZ#1206301, BZ#1425906)
Directory Server memberOf
プラグインのパフォーマンス向上
以前は、大きなグループやネストされたグループで作業すると、プラグインの操作に時間がかかりました。今回の更新で、Red Hat Directory Server
memberOf
プラグインのパフォーマンスが改善されました。その結果、memberOf
プラグインはグループに対してユーザーを追加および削除するようになりました。(BZ#1426283)
Directory Server がエラーログファイルで重大度レベルのログを記録するようになりました。
Directory Server は、
/var/log/dirsrv/slapd-instance_name/errors
ログファイルに重大度レベルのログを記録するようになりました。以前は、エラーログファイルのエントリーの重大度を区別するのが困難でした。この改善により、管理者は重大度レベルを使用してエラーログをフィルターにかけることができるようになりました。
詳細は、Red Hat Directory Server の Configuration, Command, and File Reference https://access.redhat.com/documentation/ja-JP/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content の対応するセクションを参照してください。(BZ#1426289)
Directory Server が PBKDF2_SHA256
パスワードストレージスキームに対応
セキュリティーを向上させるため、今回の更新で、Directory Server で対応しているパスワードストレージスキームの一覧に、256 ビットのパスワードベースの鍵導出関数 2 (PBKDF2_SHA256) が追加されました。このスキームでは、30,000 回の反復を使用して 256 ビットのセキュアハッシュアルゴリズム (SHA256) を適用します。
バージョン 7.4 より前の Red Hat Enterprise Linux のネットワークセキュリティーサービス (NSS) データベースは、PBKDF2 をサポートしていないことに注意してください。そのため、以前のバージョンの Directory Server を使用したレプリケーショントポロジーでは、このパスワードスキームを使用できません。(BZ#1436973)
Directory Server での自動チューニングのサポートが改善されました。
以前は、データベースを監視し、設定を手動で調整してパフォーマンスを向上させる必要がありました。今回の更新で、Directory Server が、以下のために最適化された自動チューニングに対応しました。
- データベースとエントリーキャッシュ
- 作成されたスレッドの数
Directory Server は、サーバーのハードウェアリソースに基づいてこの設定を調整します。
新しい Directory Server インスタンスをインストールする場合、自動チューニングがデフォルトで自動的に有効になります。以前のバージョンからアップグレードしたインスタンスの場合、Red Hat は自動チューニングを有効にすることを推奨します。詳細は、次を参照してください。
新しい PKI 設定パラメーターにより、TCP keepalive
オプションを制御できます。
今回の更新で、
CS.cfg
設定ファイルに tcp.keepAlive
パラメーターが追加されました。このパラメーターはブール値を受け入れ、デフォルトで true
に設定されます。このパラメーターを使用して、PKI サブシステムによって作成されたすべての LDAP 接続に TCP キープアライブ
オプションを設定します。このオプションは、証明書の発行に非常に時間がかかり、アイドル状態が長く続いた後に接続が自動的に閉じられる場合に役立ちます。(BZ#1413132)
PKI サーバーが、強力な暗号化を使用して PKCS #12 ファイルを作成するようになりました。
PKCS #12 ファイルを生成する際に、pki pkcs12 コマンドは、以前は PKCS #12 非推奨の鍵導出関数(KDF)およびトリプル DES (3DES)アルゴリズムを使用していました。今回の更新で、このコマンドは、パスワードベースの鍵導出関数 2 (PBKDF2) および Advanced Encryption Standard (AES) アルゴリズムを使用したパスワードベースの暗号化標準 2 (PBES2) スキームを使用して秘密鍵を暗号化するようになりました。その結果、この強化によりセキュリティーが向上し、コモンクライテリアの認証要件に準拠しています。(BZ#1426754)
暗号化操作に使用できる CC 準拠のアルゴリズム
コモンクライテリアでは、承認されたアルゴリズムを使用して、暗号化と鍵の巻き込みを行うことが要求されています。これらのアルゴリズムは、Protection Profile for Certification Authorities の FCS_COP.1.1(1) のセクションで規定されています。今回の更新で、KRA での暗号化と復号を変更して、秘密と鍵のトランスポートおよびストレージで承認された AES 暗号化とラップアルゴリズムを使用するようになりました。この更新では、サーバーおよびクライアントソフトウェアの両方で変更が必要になりました。(BZ#1445535)
TPS インターフェイスでメニュー項目の表示を設定できるようにする新しいオプション
以前のバージョンでは、Token Processing
System
(TPS)ユーザーインターフェイスの System メニューの下にグループ化されたメニュー項目は、ユーザーロールに基づいて静的に決定されました。特定の状況では、表示されるメニュー項目が、ユーザーが実際にアクセスできるコンポーネントと一致しませんでした。今回の更新で、TPS ユーザーインターフェイスの System
メニューには、TPS 管理者の target.configure.list
パラメーターと TPS エージェントの target.agent_approve.list
パラメーターに基づくメニュー項目のみが表示されるようになりました。これらのパラメーターは、アクセス可能なコンポーネントに一致するように、インスタンス CS.cfg
ファイルで変更できます。(BZ#1391737)
Subject Alternative Name エクステンションに、証明書の Subject Common Name をコピーするプロファイルコンポーネントの追加
一部の TLS ライブラリーでは、DNS 名が Subject Common Name (CN) フィールドにのみ表示される場合に、DNS 名の検証を警告または拒否するようになりました。これは RFC 2818 で非推奨となった慣行です。今回の更新で、
CommonNameToSANDefault
プロファイルコンポーネントが追加され、Subject Common Name が Subject Alternative Name (SAN)拡張機能にコピーされ、証明書が現在の標準に準拠するようになりました。(BZ#1305993)
LDIF のインポート前に LDAP エントリーを削除する新しいオプション
CA を移行するとき、LDIF のインポート前に LDAP エントリーが存在すると、LDAP インポートからエントリーが再作成されないため、一部のフィールドが欠落することがありました。その結果、リクエスト ID は未定義と表示されました。この更新では、pkispawn プロセスの終了時に署名証明書の LDAP エントリーを削除するオプションが追加されました。このエントリーは、その後の LDIF インポートで再作成されます。現在、署名エントリーが削除され、LDIF のインポートで再度追加されると、リクエスト ID とその他のフィールドが正しく表示されるようになりました。追加する正しいパラメーターは、以下のとおりです (X はインポートする署名証明書のシリアル番号を 10 進数で表す)。
pki_ca_signing_record_create=False pki_ca_signing_serial_number=X
(BZ#1409946)
Certificate System が外部認証ユーザーに対応するようになりました。
以前は、Certificate System でユーザーとロールを作成する必要がありました。この機能強化により、外部の ID プロバイダーが認証したユーザーを許可するように Certificate System を設定できるようになりました。また、レルム固有の認証アクセス制御リスト (ACL) を使用できます。そのため、Certificate System でユーザーを作成する必要はありません。(BZ#1303683)
Certificate System が、証明書および CRL 公開の有効化および無効化に対応するようになりました。
今回の更新以前は、認証局 (CA) で公開が有効になっていると、認証システムが証明書失効リスト (CRL) と証明書公開の両方を自動的に有効にしていました。その結果、証明書の公開が有効になっていないサーバーでは、エラーメッセージがログに記録されました。Certificate System が拡張され、
/var/lib/pki/<instance>/ca/conf/CS.cfg
ファイルで個別に証明書および CRL 公開の有効化および無効化がサポートされるようになりました。
証明書および CRL 公開の両方を有効または無効にするには、以下を設定します。
ca.publish.enable = True|False
CRL 公開のみを有効にするには、以下を設定します。
ca.publish.enable = True ca.publish.cert.enable = False
証明書の公開のみを有効にするには、以下を設定します。
ca.publish.enable = True ca.publish.crl.enable = False
(BZ#1325071)
searchBase 設定オプションが DirAclAuthz
PKI サーバープラグインに追加されました。
さまざまなセットの認証アクセス制御リスト(ACL)の読み取りをサポートするために、
DirAclAuthz
PKI サーバープラグインに searchBase 設定オプションが追加されました。その結果、プラグインが ACL を読み込むサブツリーを設定できます。(BZ#1388622)
パフォーマンス向上のため、Certificate System が一時的にサポートされるようになりました。
この更新の前に、Certificate System Key Recovery Agent (KRA) インスタンスは、常に LDAP バックエンドにシークレットの復旧要求とストレージ要求を保存します。これは、複数のエージェントが要求を承認する必要がある場合に状態を保存するために必要です。ただし、要求が即座に処理され、要求を承認する必要があるエージェントが 1 人のみの場合は、状態を保存する必要はありません。パフォーマンスを向上させるために、
/var/lib/pki/<instance>/kra/conf/CS.cfg ファイルの kra. ephemeralRequests=true
オプションを設定して、要求を LDAP バックエンドに保存しないようにすることができます。(BZ#1392068)
PKI デプロイメント設定ファイルのセクションヘッダーでは、大文字と小文字が区別されなくなりました。
PKI デプロイメント設定ファイルのセクションヘッダー
([Tomcat]
など)では、大文字と小文字が区別されていました。この動作は、なんのメリットもなく、エラーが発生する可能性が高くなります。このリリース以降、設定ファイルのセクションヘッダーでは大文字と小文字が区別されなくなり、エラーが発生する可能性が低くなります。(BZ#1447144)
Certificate System は、FIPS が有効な Red Hat Enterprise Linux 上の HSM を使用した CA のインストールをサポートする
認証システム認証局 (CA) インスタンスのインストール時に、インストーラーがインスタンスを再起動する必要があります。この再起動時に、Federal Information Processing Standard (FIPS) モードが有効で、ハードウェアセキュリティーモジュール (HSM) を使用しているオペレーティングシステムのインスタンスは、HTTPS ポートではなくセキュアでない HTTP ポートに接続する必要があります。今回の更新で、HSM を使用して、FIPS が有効な Red Hat Enterprise Linux に Certificate System インスタンスをインストールできるようになりました。(BZ#1450143)
CMC 要求では、AES および 3DES の暗号化にランダム IV が使用されるようになりました。
この更新により、PKI サーバーの Certificate Management over CMS (CMC) 要求は、アーカイブされるキーを暗号化するときに、ランダムに生成された初期化ベクトル (IV) を使用します。以前は、クライアントコードとサーバーコードでは、このシナリオで固定 IV が使用されていました。CMC クライアントコードが拡張されたため、Advanced Encryption Standard (AES) および Triple Data Encryption Algorithm (3DES) の両方で暗号化を実行する場合に、random IV を使用するとセキュリティーが向上します。(BZ#1458055)