Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第5章 認証および相互運用性
コンテナー内の SSSD が完全にサポートされるようになりました。
SSSD(System Security Services Daemon)を提供する rhel7/sssd コンテナーイメージは、テクノロジープレビュー機能ではなくなりました。イメージが完全にサポートされるようになりました。
rhel7/ipa-server
コンテナーイメージは依然としてテクノロジープレビュー機能であることに注意してください。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services を参照してください。(BZ#1467260)
Identity Management が FIPS に対応
今回の機能拡張により、Identity Management(IdM)が FIPS(Federal Information Processing Standard)をサポートするようになりました。これにより、FIPS 基準を満たす必要のある環境で IdM を実行できます。FIPS モードを有効にして IdM を実行するには、FIPS モードが有効な Red Hat Enterprise Linux 7.4 を使用して、IdM 環境にあるすべてのサーバーを設定する必要があります。
以下ができないことに注意してください。
- FIPS モードを無効にしてからインストールした既存の IdM サーバーで FIPS モードを有効にする。
- FIPS モードを無効にして既存の IdM サーバーを使用する場合に FIPS モードでレプリカをインストールする。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#prerequisites を参照してください。(BZ#1125174)
SSSD は、スマートカードでのユーザーの認証時に Kerberos チケットの取得をサポートします。
SSSD(System Security Services Daemon)が Kerberos PKINIT の事前認証メカニズムに対応するようになりました。Identity Management(IdM)ドメインに登録されているデスクトップクライアントシステムにスマートカードで認証すると、認証に成功した場合には、有効な Kerberos Ticket-granting Ticket(TGT)を受け取ります。その後、ユーザーは TGT を使用して、クライアントシステムからさらにシングルサインオン(SSO)認証を使用できます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-pkinit-auth.html を参照してください。(BZ#1200767, BZ#1405075)
SSSD により、同じスマートカード証明書を使用して異なるユーザーアカウントにログイン可能
以前では、SSSD(System Security Services Daemon)では、すべての証明書を単一のユーザーに一意にマップする必要がありました。スマートカード認証を使用している場合、複数のアカウントを持つユーザーは、同じスマートカード証明書を持つこれらのアカウントすべてにログインすることができませんでした。たとえば、個人アカウントおよび機能アカウント(データベース管理者アカウントなど)を持つユーザーは、個人アカウントにのみログインできました。
今回の更新で、SSSD は証明書を単一のユーザーに一意にマッピングする必要がなくなりました。これにより、1 つのスマートカード証明書を使用して異なるアカウントにログインできるようになりました。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html を参照してください。(BZ#1340711, BZ#1402959)
IdM Web UI でスマートカードログインを有効にする
Identity Management の Web UI を使用すると、ユーザーはスマートカードを使用してログインできます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-web-ui-auth.html を参照してください。(BZ#1366572)
新しいパッケージ: keycloak-httpd-client-install
keycloak-httpd-client-install パッケージは、Red Hat Single Sign-On(RH-SSO: Keycloak)federated Identity Provider(IdP)クライアントとして登録する際に Apache
httpd
認証モジュールの設定を自動化し、簡素化できるさまざまなライブラリーおよびツールを提供します。
RH-SSO の詳細は、「 https://access.redhat.com/products/red-hat-single-sign-on 」を参照してください。
この更新の一環として、Red Hat Enterprise Linux に新しい依存関係が追加されました。
- python-requests -oauthlib パッケージ: このパッケージは、python-requests パッケージの OAuth ライブラリーサポートを提供します。これにより、python-requests が認証に OAuth を使用できるようになります。
- python-oauthlib パッケージ: このパッケージは、OAuth 認証メッセージの作成および消費を提供する Python ライブラリーです。これは、メッセージトランスポートを提供するツールと併用されます。(BZ#1401781, BZ#1401783, BZ#1401784)
新しい Kerberos 認証情報キャッシュタイプ: KCM
今回の更新で、kcm という名前の新しい SSSD サービスが追加
されまし
た。このサービスは sssd-kcm サブパッケージに含まれています。
kcm
サービスがインストールされている場合は、KCM という名前の新しい認証情報キャッシュタイプを使用するように Kerberos ライブラリーを設定でき ます
。KCM 認証情報のキャッシュタイプを設定すると、sssd-kcm
サービスが認証情報を管理します。
KCM 認証情報のキャッシュタイプは、コンテナー化された環境に適しています。
- KCM では、kcm サービスがリッスンする UNIX ソケットのマウントに基づいて、必要に応じて認証情報キャッシュをオンデマンドで共有できます。
kcm
サービスは、RHEL がデフォルトで使用する KEYRING 認証情報キャッシュタイプとは異なり、カーネル外のユーザー空間で実行されます。KCM では、選択したコンテナーでkcm
サービスのみを実行できます。KEYRING では、すべてのコンテナーがカーネルを共有するため、認証情報キャッシュを共有します。
さらに、KCM 認証情報のキャッシュタイプは、FILE ccache タイプとは異なり、キャッシュコレクションをサポートします。
詳細は、sssd-kcm(8)man ページを参照してください。(BZ#1396012)
AD ユーザーは Web UI にログインしてセルフサービスページにアクセスできます。
以前のバージョンでは、Active Directory(AD)ユーザーは、コマンドラインから
kinit
ユーティリティーを使用してのみ認証できるようになりました。今回の更新により、AD ユーザーは Identity Management(IdM)の Web UI にログインできるようになりました。IdM 管理者は、ユーザーがログインする前に、AD ユーザーの ID オーバーライドを作成する必要があります。
これにより、AD ユーザーは、IdM Web UI からセルフサービスページにアクセスできます。セルフサービスページには、AD ユーザーの ID オーバーライドからの情報が表示されます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/using-the-ui.html#ad-users-idm-web-ui を参照してください。(BZ#872671)
SSSD は、SSSD サーバーモードで AD サブドメインの設定を有効にします。
以前では、SSSD(System Security Services Daemon)は信頼された Active Directory(AD)ドメインを自動的に設定していました。今回の更新で、SSSD は、結合されたドメインと同じ方法で、信頼できる AD ドメインに特定のパラメーターの設定に対応します。
これにより、SSSD が通信するドメインコントローラーなど、信頼されるドメインの個別の設定を設定できます。これを行うには、このテンプレートに続く名前で
/etc/sssd/sssd.conf
ファイルにセクションを作成します。
[domain/main_domain/trusted_domain]
たとえば、メインの IdM ドメイン名が ipa.com で、信頼される AD ドメイン名が ad.com の場合、対応するセクション名は以下のようになります。
[domain/ipa.com/ad.com]
(BZ#1214491)
SSSD は、AD 環境の短縮名を使用したユーザーおよびグループの検索および認証をサポートします。
以前は、SSSD(System Security Services Daemon)は、デーモンがスタンドアロンドメインに参加している場合にのみ、短い名前とも呼ばれるドメインコンポーネントのないユーザー名をサポートしていました。これで、以下の環境のすべての SSSD ドメインで、これらの目的で短縮名を使用できるようになりました。
- Active Directory(AD)に参加しているクライアント
- AD フォレストと信頼関係のある Identity Management(IdM)デプロイメント
短縮名を使用する場合でも、すべてのコマンドの出力形式は常に完全修飾です。この機能は、以下の方法の 1 つでドメインの解決順序の一覧を設定した後にデフォルトで有効にされます(優先順でリストされます)。
- ローカルでは、
/etc/sssd/sssd.conf
ファイルの[sssd]
セクションにdomain_resolution_order
オプションを使用して一覧を設定します。 - ID ビューの使用
- IdM 設定でグローバルに設定
この機能を無効にするには、
/etc/sssd/sssd.conf
ファイルの [domain/example.com]
セクションで use_fully_qualified_names
オプションを True
に設定します。(BZ#1330196)
SSSD は、UID または SID を使用せずにセットアップでのユーザーおよびグループの解決、認証、および承認をサポートします。
従来の System Security Services Daemon(SSSD)デプロイメントでは、ユーザーおよびグループに POSIX 属性が設定されているか、SSSD は Windows セキュリティー識別子(SID)に基づいてユーザーおよびグループを解決できます。
今回の更新で、アイデンティティープロバイダーとして LDAP を使用するセットアップで、UID または SID が LDAP ディレクトリーにない場合でも SSSD が以下の機能に対応するようになりました。
- D-Bus インターフェースを使用したユーザーおよびグループの解決
- PAM(プラグイン可能な認証モジュール)インターフェースによる認証および承認(BZ#1425891)
SSSD に sssctl user-checks コマンドが追加されました。これは、1 回の操作で基本的な SSSD 機能を確認します。
sssctl
ユーティリティーに、user-checks
という名前の新しいコマンドが含まれるようになりました。sssctl user-checks コマンドは、SSSD(System Security Services Daemon)をユーザーのルックアップ、認証、および承認のバックエンドとして使用するアプリケーションの問題をデバッグするのに役立ちます。
- sssctl user-checks [USER_NAME] コマンドは、NSS(Name Service Switch)および D-Bus インターフェースの InfoPipe レスポンダーで利用可能なユーザーデータを表示します。表示されるデータは、ユーザーが
system-auth
のプラグ可能な認証モジュール(PAM)サービスを使用してログインすることを許可されているかどうかを示します。 - sssctl user-checks で使用できる追加オプションでは、認証またはさまざまな PAM サービスをチェックします。
sssctl user-checks の詳細は、sssctl user-checks --help コマンドを使用します。(BZ#1414023)
サービスとしてのシークレットのサポート
今回の更新により、
シークレット
という名前のレスポンダーが SSSD(System Security Services Daemon)に追加されました。このレスポンダーにより、アプリケーションは Custodia API を使用して UNIX ソケットを介して SSSD と通信できます。これにより、SSSD はシークレットをローカルデータベースに格納したり、リモートの Custodia サーバーに転送したりできます。(BZ#1311056)
IdM は、外部 DNS サーバーで IdM DNS レコードの半自動アップグレードを有効にします。
外部 DNS サーバーで Identity Management(IdM)DNS レコードの更新を簡素化するために、IdM では ipa dns-update-system-records --dry-run --out [file] コマンドが導入されました。このコマンドは、nsupdate ユーティリティーで許可される形式のレコード一覧を生成
し
ます。
生成されたファイルを使用して、トランザクション署名(TSIG)プロトコルでセキュア化された標準の動的 DNS 更新メカニズムまたは TSIG(GSS-TSIG)の GSS アルゴリズムを使用して外部 DNS サーバーのレコードを更新できます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/dns-updates-external.html を参照してください。(BZ#1409628)
IdM が SHA-256 証明書と公開鍵フィンガープリントを生成する
以前は、Identity Management(IdM)は、証明書と公開鍵のフィンガープリントを生成する際に MD5 ハッシュアルゴリズムを使用していました。IdM は、セキュリティーを強化するために、上述のシナリオで SHA-256 アルゴリズムを使用するようになりました。(BZ#1444937)
IdM は、スマートカード証明書をユーザーアカウントにリンクする柔軟なマッピングメカニズムに対応
以前は、Identity Management(IdM)の特定のスマートカードに対応するユーザーアカウントを見つける唯一の方法は、スマートカード証明書全体を Base64 でエンコードされた DER 文字列として提供することでした。今回の更新で、証明書文字列自体ではなく、スマートカード証明書の属性を指定して、ユーザーアカウントを検出できるようになりました。たとえば、管理者はマッチングルールとマッピングルールを定義して、特定の認証局(CA)が発行するスマートカード証明書を IdM のユーザーアカウントにリンクできるようになりました。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html#sc-one-card-multiple-accounts-links を参照してください。(BZ#1402959)
新しいユーザー空間ツールにより、より便利な LMDB デバッグが可能
今回の更新で、
/usr/libexec/openldap/
ディレクトリーに mdb_copy
ツール、mdb_dump
ツール、mdb_load
ツール、および mdb_stat
ツールが追加されました。この追加機能には、man/man1
サブディレクトリーに関連する man ページが含まれます。Lightning Memory-Mapped Database(LMDB)バックエンドに関連する問題をデバッグするには、新しいツールのみを使用します。(BZ#1428740)
OpenLDAP がバージョン 2.4.44 にリベースされました。
openldap パッケージがアップストリームバージョン 2.4.44 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。特に、この新しいバージョンでは、多くのレプリケーションと LMDB(Memory-Mapped Database)バグが修正されています。(BZ#1386365)
Identity Management での DNS ルックアップのセキュリティーおよびサービスプリンシパル検索の堅牢性の向上
Kerberos クライアントライブラリーは、Ticket-granting server(TGS)要求を発行する際にホスト名の正規化を試行しなくなりました。この機能により、以下が改善されます。
- 正規化時に必要でしたが、DNS ルックアップは実行されなくなりました。
- クラウドやコンテナー化されたアプリケーションなどのより複雑な DNS 環境でサービスプリンシパル検索の堅牢化
ホストとサービスプリンシパルで正しい完全修飾ドメイン名(FQDN)を指定してください。この動作が変更になったため、Kerberos は短い名前など、プリンシパルで他の形式の名前の解決を試行しません。(BZ#1404750)
Samba がバージョン 4.6.2 にリベースされました。
samba パッケージがバージョン 4.6.2 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
- Samba は、winbindd サービスを起動する前に ID マッピング設定を検証するようになりました。設定が無効であれば、winbindd が起動できません。testparm ユーティリティーを使用して、
/etc/samba/smb.conf
ファイルを確認します。詳細は、smb.conf の man ページのIDENTITY MAPPING CONSIDERATIONS
セクションを参照してください。 - Windows 10 からのプリンタードライバーのアップロードが正常に機能するようになりました。
- 以前のリリースでは、rpc サーバーの動的ポート範囲 パラメーターのデフォルト値は 1024-1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致します。必要に応じてファイアウォールルールを更新します。
- net ads unregister コマンドが、ドメインを離れる時に Active Directory DNS ゾーンからホストの DNS エントリーを削除できるようになりました。
- smb2 leases パラメーターで、SMB 2.1 リースがデフォルトで有効化されるようになりました。SMB 高速化により、クライアントはファイルを積極的にキャッシュできます。
- セキュリティーを強化するために、NT LAN Manager バージョン 1(NTLMv1)プロトコルがデフォルトで無効になりました。セキュアでない NTLMv1 プロトコルが必要な場合は、
/etc/samba/smb.conf
ファイルの ntlm auth パラメーターを yes に設定します。 - イベント スクリプトと対話するために、event サブコマンドが ctdb ユーティリティーに追加されました。
- idmap_hash ID マッピングバックエンドは、今後の Samba バージョンで廃止される予定です。
- 非推奨の user パラメーターおよび username パラメーターのみ が削除されました。
smbd デーモン、nmbd デーモン、または winbind デーモンが起動すると、Samba は tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。(BZ#1391954)
authconfig で SSSD
がスマートカードでユーザーを認証できる
この新機能により、authconfig コマンドは System Security Services Daemon(SSSD)がスマートカードでユーザーを認証するように設定できます。以下に例を示します。
# authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall
今回の更新で、pam_pkcs11 がインストールされていないシステムでスマートカード認証を実行できるようになりました。ただし、pam_pkcs11 がインストールされている場合は、--smartcardmodule=sssd オプションは無視されます。代わりに、
/etc/pam_pkcs11/pam_pkcs11.conf で定義された最初の pkcs11_
module がデフォルトとして使用されます。
詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/auth-idm-client-sc.html を参照してください。(BZ#1378943)
authconfig がアカウントのロックを有効化できるようになりました。
今回の更新で、authconfig コマンドに --enablefaillock オプションが追加されました。このオプションを有効にすると、設定されたアカウントは、15 分以内に 4 回連続してログイン試行に失敗すると 20 分間ロックされます。(BZ#1334449)
IdM サーバーのパフォーマンスの向上
Identity Management(IdM)サーバーは、一般的なワークフローおよび設定の多くでパフォーマンスが向上します。これらの改善には、以下が含まれます。
- vault パフォーマンスは、IdM サーバー管理フレームワーク内のラウンドトリップを減らして向上しました。
- IdM サーバー管理フレームワークは、内部の通信および認証で費やした時間を短縮するように調整されました。
- Directory Server 接続管理は、
nunc-stans
フレームワークを使用することで、よりスケーラブルになりました。 - 新規インストールで、Directory Server は、サーバーのハードウェアリソースに基づいて、データベースエントリーキャッシュとスレッド数を自動調整するようになりました。
IdM Web UI のデフォルトのセッション有効期限の期間が変更になりました。
以前のバージョンでは、ユーザーがユーザー名とパスワードを使用して Identity Management(IdM)Web UI にログインすると、Web UI は、アクティブでない 20 分後に自動的にユーザーをログアウトしていました。今回の更新により、デフォルトのセッション長さは、ログイン操作時に取得した Kerberos チケットの有効期限と同じになります。デフォルトのセッションの長さを変更するには、
/etc/ipa/default.conf
ファイルで kinit_lifetime オプションを使用して、httpd
サービスを再起動します。(BZ#1459153)
dbmon.sh スクリプトは、インスタンス名を使用して Directory Server インスタンスに接続
dbmon.sh シェルスクリプトを使用すると、Directory Server データベースおよびエントリーキャッシュの使用状況を監視できます。今回の更新で、スクリプトは HOST および PORT 環境変数を使用しなくなりました。セキュアなバインドをサポートするため、スクリプトは SERVID 環境変数から Directory Server インスタンス名を読み取り、サーバーでセキュアな接続が必要な場合には、ホスト名、ポート、および情報の取得に使用してください。たとえば、slapd-localhost インスタンスを監視するには、次のコマンドを実行します。
SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh
(BZ#1394000)
Directory Server が、SSHA _512
パスワードストレージスキームをデフォルトとして使用するようになりました。
以前では、Directory Server は、cn=config エントリーの passwordStorageScheme および nsslapd-rootpwstoragescheme パラメーターに設定されたデフォルトのパスワードストレージスキームとして、弱い 160 ビットソルトされた安全なハッシュアルゴリズム(SSHA)を使用していました。セキュリティーを強化するために、両方のパラメーターのデフォルトが、強力な 512 ビットの SSHA スキーム(SSHA_512)に変更されています。
新しいデフォルトが使用されます。
- 新しい Directory Server インストールの実行時
- passwordStorageScheme パラメーターが設定されておらず、userPassword 属性に保存されているパスワードを更新します。
- nsslapd-rootpwstoragescheme パラメーターが設定されておらず、nsslapd-rootpw 属性に設定された Directory Server マネージャーのパスワードを更新します。(BZ#1425907)
Directory Server が tcmalloc
メモリーアロケーターを使用するようになりました。
Red Hat Directory Server は、
tcmalloc
メモリーアロケーターを使用するようになりました。以前は、標準の glibc
アロケーターではより多くのメモリーが必要となり、特定の状況では、サーバーがメモリー不足になる可能性がありました。tcmalloc
メモリーアロケーターを使用すると、Directory Server に必要なメモリーが少なくなり、パフォーマンスが向上します。(BZ#1426275)
Directory Server が nunc-stans
フレームワークを使用するようになりました。
nunc-stans
イベントベースのフレームワークが Directory Server に統合されました。以前は、Directory Server への同時受信接続が多数確立されると、パフォーマンスが低下する可能性がありました。今回の更新で、パフォーマンスを低下させることなく、サーバーが大量の接続を処理できるようになりました。(BZ#1426278, BZ#1206301, BZ#1425906)
Directory Server memberOf
プラグインのパフォーマンスが向上
以前のバージョンでは、大規模なグループまたはネストされたグループを使用する際に、プラグインの操作に長い時間がかかる可能性がありました。今回の更新で、Red Hat Directory Server
memberOf
プラグインのパフォーマンスが改善されました。その結果、memberOf
プラグインはグループからユーザーを追加し、削除するようになりました。(BZ#1426283)
Directory Server がエラーログファイルの重大度レベルのログを記録
Directory Server は、
/var/log/dirsrv/slapd-instance_name/errors
ログファイルに重大度レベルのログを記録するようになりました。以前のバージョンでは、エラーログファイルでエントリーの重大度を区別することは容易ではありませんでした。今回の機能拡張により、管理者はエラーログをフィルターするために重大度レベルを使用できるようになりました。
詳細は、Red Hat Directory Server Configuration, Command, and File Reference: https://access.redhat.com/documentation/ja-JP/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content (BZ# 1426289)の該当するセクションを参照してください。
Directory Server が PBKDF2_SHA256
パスワードストレージスキームに対応
今回の更新ではセキュリティーを強化するために、Directory Server でサポートされる password-storage スキームのリストに 256 ビットパスワードベースの鍵導出関数 2(PBKDF2_SHA256)が追加されました。このスキームは、30,000 の反復を使用して 256 ビットの安全なハッシュアルゴリズム(SHA256)を適用します。
バージョン 7.4 より前の Red Hat Enterprise Linux の Network Security Service(NSS)データベースは PBKDF2 をサポートしていないことに注意してください。そのため、以前の Directory Server バージョンのレプリケーショントポロジーでは、このパスワードスキームを使用することはできません。(BZ#1436973)
Directory Server の自動チューニングサポートの強化
以前のバージョンでは、データベースを監視し、設定を手動で調整してパフォーマンスを向上させる必要がありました。今回の更新で、Directory Server は以下の最適化した自動チューニングをサポートするようになりました。
- データベースおよびエントリーキャッシュ
- 作成されたスレッドの数
Directory Server は、サーバーのハードウェアリソースに基づいて、これらの設定を調整します。
新しい Directory Server インスタンスをインストールすると、自動チューニングがデフォルトで有効にされるようになりました。以前のバージョンからアップグレードしたインスタンスでは、自動チューニングを有効にすることを推奨します。詳細は、次を参照してください。
新しい PKI 設定パラメーターで TCP keepalive
オプションの制御が可能
今回の更新で、
tcp.keepAlive
パラメーターが CS.cfg
設定ファイルに追加されました。このパラメーターはブール値を受け入れ、デフォルトで true
に設定されます。このパラメーターを使用して、PKI サブシステムによって作成されるすべての LDAP 接続の TCP keepalive
オプションを設定します。このオプションは、証明書の発行に非常に長い時間がかかり、接続がアイドル状態で長すぎると自動的に閉じられる場合に役立ちます。(BZ#1413132)
PKI サーバーが、強力な暗号化を使用して PKCS #12 ファイルを作成する
PKCS #12 ファイルを生成する際に、pki pkcs12 コマンドが、PKCS #12 で非推奨となったキー導出関数(KDF)およびトリプル DES(3DES)アルゴリズムを使用していました。今回の更新では、パスワードベースの暗号化標準 2(PBES2)スキームと、パスワードベースの鍵導出関数 2(PBKDF2)と Advanced Encryption Standard(AES)アルゴリズムを使用して秘密鍵を暗号化するようになりました。その結果、この機能拡張によりセキュリティーが強化され、コモンクライテリア認定要件に準拠します。(BZ#1426754)
暗号化操作に使用できる CC 準拠のアルゴリズム
コモンクライテリアでは、暗号化操作とキーラップ操作を、承認されたアルゴリズムを使用して実行する必要があります。これらのアルゴリズムは、認証局の保護プロファイルの FCS_COP.1.1(1)セクションで指定されます。今回の更新で、KRA の暗号化および復号化が変更され、シークレットおよびキーのトランスポートとストレージで承認された AES 暗号化およびラッピングアルゴリズムが使用されるようになりました。今回の更新では、サーバーとクライアントの両方のソフトウェアの変更が必要でした。(BZ#1445535)
TPS インターフェースでメニュー項目を可視化できるようにする新しいオプション
以前のバージョンでは、Token Processing
System
(TPS)ユーザーインターフェースの System メニューでグループ化されたメニュー項目は、ユーザーロールに基づいて静的に決定されました。特定の状況では、表示されるメニュー項目がユーザーが実際にアクセスできるコンポーネントと一致しませんでした。今回の更新で、TPS ユーザーインターフェースの System
メニューに、TPS 管理者用の target.configure.list
パラメーターと、TPS エージェントの target.agent_approve.list
パラメーターに基づいてメニュー項目のみが表示されるようになりました。これらのパラメーターは、アクセス可能なコンポーネントに一致するようにインスタンスの CS.cfg
ファイルで変更できます。(BZ#1391737)
Subject Alternative Name 拡張機能に、証明書のサブジェクト共通名をコピーするプロファイルコンポーネントを追加
一部の TLS ライブラリーは、RFC 2818 で非推奨となったプラクティスである Subject Common Name(CN)フィールドに DNS 名のみが表示される場合に DNS 名を検証するようになりました。今回の更新で、Subject Common Name を Subject Alternative Name(SAN)拡張にコピーし、証明書が現在の標準に準拠するように
CommonNameToSANDefault
プロファイルコンポーネントが追加されました。(BZ#1305993)
LDIF インポート前に LDAP エントリーを削除する新しいオプション
CA を移行する際に、LDIF インポート前に LDAP エントリーが存在する場合は、エントリーが LDAP インポートから再作成されず、一部のフィールドがありません。そのため、要求 ID は未定義として表示されました。今回の更新で、pkispawn プロセスの最後に署名証明書の LDAP エントリーを削除するオプションが追加されました。次に、このエントリーは後続の LDIF インポートで再作成されます。署名エントリーが削除され、LDIF インポートで再度追加された場合に、リクエスト ID およびその他のフィールドが正しく表示されるようになりました。追加する正しいパラメーターは次のとおりです(X はインポートされる署名証明書のシリアル番号を 10 進数で表します)。
pki_ca_signing_record_create=False pki_ca_signing_serial_number=X
(BZ#1409946)
Certificate System が外部認証ユーザーに対応
以前は、証明書システムでユーザーおよびロールを作成する必要がありました。今回の機能拡張により、外部 ID プロバイダーによって認証されたユーザーを許可するように Certificate System を設定できるようになりました。また、レルム固有の承認アクセス制御リスト(ACL)を使用できます。その結果、Certificate System でユーザーを作成する必要がなくなりました。(BZ#1303683)
証明書システムが、証明書および CRL 公開の有効化および無効化に対応しました。
今回の更新以前は、認証局(CA)で公開が有効な場合、証明書システムは証明書失効リスト(CRL)と証明書公開の両方を自動的に有効にしていました。そのため、証明書公開を有効にしていないサーバーでエラーメッセージがログに記録されました。証明書システムが強化され、
/var/lib/pki/<instance>/ca/conf/CS.cfg
ファイルで証明書および CRL 公開を個別に有効および無効にできるようになりました。
証明書と CRL 公開の両方を有効または無効にするには、以下を設定します。
ca.publish.enable = True|False
CRL 公開のみを有効にするには、以下を設定します。
ca.publish.enable = True ca.publish.cert.enable = False
証明書の公開のみを有効にするには、以下を設定します。
ca.publish.enable = True ca.publish.crl.enable = False
(BZ#1325071)
searchBase 設定オプションが DirAclAuthz
PKI Server プラグインに追加されました。
さまざまな承認アクセス制御リスト(ACL)の読み取りをサポートするには、searchBase 設定オプションが
DirAclAuthz
PKI Server プラグインに追加されました。これにより、プラグインが ACL を読み込むサブツリーを設定できます。(BZ#1388622)
パフォーマンスを向上させるために、証明書システムが一時に対応
今回の更新以前は、Certificate System キーリカバリーエージェント(KRA)インスタンスは常に LDAP バックエンドのシークレットのリカバリーおよびストレージ要求を保存していました。これは、複数のエージェントが要求を承認する必要がある場合に状態を保存するために必要です。ただし、リクエストが即座に処理され、1 つのエージェントのみが要求を承認する必要がある場合は、状態を保存する必要はありません。パフォーマンスを向上させるために、
/var/lib/pki/<instance>/kra/conf/CS.cfg ファイルに kra. ephemeralRequests=true
オプションを設定して、LDAP バックエンドへの要求を保存しなくなりました。(BZ#1392068)
PKI デプロイメント設定ファイルのセクションヘッダーが大文字と小文字を区別しなくなりました。
PKI デプロイメント設定ファイルのセクションヘッダー(
Tomcat
など)は、以前は大文字と小文字が区別されていました。この動作により、利点がなく、エラーが発生する可能性があります。本リリース以降、設定ファイルのセクションヘッダーは大文字と小文字を区別せず、エラーの発生の可能性を軽減します。(BZ#1447144)
Certificate System now supports a CA using HSM on FIPS-enabled Red Hat Enterprise Linux(証明書システムが FIPS 対応の Red Hat Enterprise Linux で HSM を使用した CA のインストールに対応)
Certificate System 認証局(CA)インスタンスのインストール時に、インストーラーがインスタンスを再起動する必要があります。この再起動時に、FIPS(Federal Information Processing Standard)モードを有効にしてハードウェアセキュリティーモジュール(HSM)を使用するオペレーティングシステム上のインスタンスは、HTTPS ポートの代わりにセキュアではない HTTP ポートに接続する必要があります。今回の更新で、HSM を使用して FIPS 対応の Red Hat Enterprise Linux に Certificate System インスタンスをインストールできるようになりました。(BZ#1450143)
CMC 要求で AES および 3DES 暗号化にランダム IV が使用される
今回の更新で、PKI サーバーの Certificate Management over CMS(CMC)要求は、アーカイブする鍵を暗号化する際に無作為に生成された初期化ベクター(IV)を使用するようになりました。以前のリリースでは、このシナリオでは、クライアントとサーバーコードが固定 IV を使用していました。CMC クライアントコードが強化され、Advanced Encryption Standard(AES)および Triple Data Encryption Algorithm(3DES)の両方で暗号化を実行する際にランダム IV を使用すると、セキュリティーが強化されました。(BZ#1458055)