第5章 認証および相互運用性

トラストに関して Windows Server 2016 フォレスト/ドメイン機能レベルをサポート可能に

Identity Management を使用する場合、Windows Server 2016 フォレスト/ドメイン機能レベルで実行する Active Directory フォレストに対して、サポートされるフォレストトラストを確立できるようになりました。(BZ#1484683)

Directory Server は、複製の競合エントリーを検索結果に表示しない

以前のリリースでは、複製トポロジーに複製競合エントリーが存在する場合に、デフォルトでは、Directory Server により検索結果の一部として、競合するエントリーも返していました。その結果、サーバーが競合するエントリーを返した場合に特定の LDAP クライアントが不正に動作していました。今回の更新では、サーバーは検索で競合するエントリーを返さないので、表示するには明示的に要求する必要があります。クライアントは、予想どおりに機能するようになりました。
さらに、今回の更新では、より複雑な競合シナリオの解決策も改善されています。
詳細は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1274430)

OpenLDAP は NSS ではなく OpenSSL でコンパイルされる

以前のリリースでは OpenLDAP スイートは Network Security Services の Mozilla 実装 (Mozilla NSS) を使用していました。今回の更新で、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) の既存の証明書は、自動的に PEM 形式に抽出され、OpenSSL に渡されます。
NSS DB は今後もサポート予定ですが、PEM ファイルなど OpenSSL 関連の設定は、NSS DB などの NSS 系の設定よりも推奨されます。(BZ#1400578)

Samba がバージョン 4.7.1 にリベース

samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • これまでは、rpc server dynamic port range パラメーターのデフォルト値は 1024 - 1300 でした。今回の更新でデフォルト値が 49152 - 65535 に変更され、Windows Server 2008 およびそれ以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新してください。
  • Samba は Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 署名および暗号化操作を加速します。
  • ntlm auth パラメーターのオプションが拡張されました。パラメーターには、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および disabled オプションを使用できるようになりました。さらに、デフォルト値は、no から ntlmv2-only になりました。
  • smbclient ユーティリティーは、サーバーへの接続時に、ドメイン、オペレーティングシステム、サーバーバージョンの情報が含まれるバナーを表示しなくなりました。
  • client max protocol パラメーターのデフォルト値は、SMB3_11 に変更されました。これにより、プロトコルバージョンの設定なしに、smbclient などのユーティリティーで SMB 3.11 プロトコルに接続できるようになりました。
  • 相互運用性が改善されるように、Samba は CTDB クラスターで、複数のマイナーバージョンの使用がサポートされなくなりました。
smbdnmbd、または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba の起動前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルのダウングレードはサポートしていないので注意してください。
更新する前に、アップストリームのリリースノートで主な変更の詳細を確認してください。

SSSD LDAP プロバイダーは、自動的にユーザーのユーザープライベートグループを作成可能

System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合は、ユーザーグループを各ユーザーに割り当てる必要があります。以前のリリースでは、管理者は手動で各ユーザーのグループを作成する必要がありました。今回の更新では、SSSD は自動的にユーザーエントリーからユーザーのプライベートグループを生成し、UID と GID を一致させます。この機能を有効化するには、/etc/sssd/sssd.conf ファイルで、LDAP プロバイダーセクションの auto_private_groups オプションを有効化します。(BZ#1327705)

AD ドメインに登録された SSSD は初回接続に成功した後は検出された AD サイトを記憶

以前のリリースでは、クライアントの Active Directory (AD) サイトを判断するために、System Security Services Daemon (SSSD) は AD のドメインコントローラー (DC) に LDAP ping を送信していました。問い合わせ先の DC に到達できない場合にはタイムアウトが発生し、接続が数秒遅延しました。今回の更新で、SSSD は最初に検出が成功した後はクライアントのサイトを記憶するようになりました。初回接続後の LDAP の ping はクライアントのサイトから DC 上で実行されるので、この要求にかかる時間が短縮されます。(BZ#1400614)

SSSD は syslog にステータスの変更をログとして記録

以前のリリースでは、System Security Services Daemon (SSSD) は、オンラインまたはオフラインステータスの変更に関する情報を SSSD ログにのみ記録していました。今回の更新で、SSSD ステータスの変更は syslog サービスにもログとして記録され、システム管理者がより多くの情報を利用できるようになりました。(BZ#1416150)

SSSD のパフォーマンス向上

今回の更新で、System Security Services Daemon (SSSD) のパフォーマンスに関連するさまざまな機能拡張が追加されました。特に重要な機能拡張は以下のとおりです。
  • SSSD キャッシュに、足りなかったインデックスが複数追加され、キャッシュされたオブジェクトをより早く検索できるようになりました。
  • ユーザーとグループの保存方法が変更され、キャッシュ済みの大量のオブジェクトでキャッシュが生成された後に発生していた SSSD キャッシュのパフォーマンスの低下が抑えられます。
その結果、特に大きいグループなど、SSSD がユーザーおよびグループのオブジェクトを読み込む時間が短縮されます。また、キャッシュオブジェクトの数やキャッシュサイズが増加しても、SSSD キャッシュのパフォーマンスが安定した状態を保てるようになりました。(BZ#1472255、BZ#1482555)

pwdhash ユーティリティーは、設定ディレクトリーからストレージスキームを取得可能

以前のリリースでは、pwdhash に設定ディレクトリーへのパスを渡す場合、ユーティリティーは Directory Server のデフォルトのストレージスキームを使用してパスワードを暗号化していました。今回の更新で、/etc/dirsrv/slapd-instance_name/dse.ldif ファイルの読み取りパーミッションが設定されたユーザーで pwdhash を実行すると、pwdhash ユーティリティーは cn=config エントリーの nsslapd-rootpwstoragescheme 属性で設定されたストレージスキームを使用するようになり、ストレージスキームが Directory Server のデフォルト設定と異なる場合に、上記のシナリオでもストレージスキームを指定する必要がなくなりました。(BZ#1467777)

2 つの Directory Server インスタンスを比較する新規ユーティリティー

今回の更新で、ds-replcheck ユーティリティーが Directory Server に追加されました。このユーティリティーは、オンラインモードで 2 つのサーバーのデータを、オフラインモードで 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server の複製に一貫性があることを確認できるようになりました。
詳しい情報は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1406351)

Directory Server が読み取り専用レプリカでの memberOf プラグイン有効化をサポート可能に

以前のリリースでは、読み取り専用の Directory Server レプリカサーバーで memberOf プラグインを有効化すると、プラグインはメンバーエントリーの更新に失敗していました。複製トポロジーでこのプラグインを使用するには、書き込みが可能なサーバーで有効化して、memberOf 属性を読み取り専用のレプリカに複製することしかできませんでした。今回の更新で、全サーバーでプラグインを有効化できるようになったため、書き込みが可能なサーバーと同様に、読み取り専用のサーバーでプラグインを使用できるようになりました。
詳細は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1352121)

Directory Server がバージョン 1.3.7.5 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.7.5 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。更新する前に、アップストリームのリリースノートで主な変更の詳細な一覧を確認してください。

Directory Server が追加のパスワードストレージスキームをサポート

互換性の理由から、今回の更新で Directory Server に以下に示す強度の弱いパスワードストレージスキームに対するサポートが追加されました。
  • CRYPT-MD5
  • CRYPT-SHA256
  • CRYPT-SHA512
セキュリティーの理由上、強度の弱いストレージスキームを既存のインストールに、一時的に使用するようにし、強度の強いパスワードストレージスキームへの移行を検討してください。(BZ#1479012)

Directory Server はワーカースレッド毎に、別の正規化 DN キャッシュを使用

以前のリリースでは、複数のワーカースレッドが 1 つの正規化された識別名 (DN) を使用していたため、複数のクライアントが Directory Server で操作を実行すると、パフォーマンスが低下していました。今回の更新で、Directory Server はワーカースレッド毎に別の正規化 DN キャッシュを作成するようになり、上記のシナリオでもパフォーマンスが低下しなくなりました。(BZ#1458536)

pki-core がバージョン 10.5.1 にリベース

pki-core パッケージがアップストリームバージョン 10.5.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。特に、今回の更新で、証明局に対するコモンクライテリアのプロテクションプロファイル (CCPP) バージョン 2.1 の要件に対応するようになりました。(BZ#1473452)

Certificate System が CMC での CA、KRA、および OCSP サブシステムのインストールをサポート

今回の機能拡張により、Certificate Management over CMS (CMC) で CA、KRA、または OCSP サブシステムをインストールするメカニズムが追加されました。インストールは、2 つのステップで完了します。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) を生成します。CSR は、CMC を使用してシステム証明書を発行するのに使用することができます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)

Certificate System が別のユーザーとして実行するインスタンスの作成をサポート

以前のリリースでは、Certificate System はサービスの起動に /usr/lib/systemd/system/ の systemd ユニットファイルしか使用できませんでした。そのため、異なるユーザーや pkiuser のグループで実行するサービスを作成できませんでした。pkispawn ユーティリティーが更新されたので、pkispawn に渡される設定ファイルに異なるユーザーまたはグループが含まれる場合には、このユーティリティーにより、/etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルのカスタマイズ値を使用して上書きファイルが作成されるようになりました。そのため、Certificate System ユーザーを実行している場合に、異なるユーザーまたはグループをデフォルトとして実行できるようになりました。(BZ#1523410)

Certificate System は PBKDF2 鍵導出が含まれる PBES2 を使用して PKCS #12 ファイルを作成可能

今回の更新で Certificate System が拡張され、トークンベースの鍵リカバリーが無効になっている場合に、Key Recovery Authority (KRA) から復元した秘密鍵の AES 暗号化がサポートされるようになりました。具体的には、AES 暗号化が有効化されている場合に、復元された鍵を含むエクスポートされた PKCS #12 ファイルは、Password-Based Key Derivation Function 2 (PBKDF2) の鍵導出および AES 128 暗号化と共に、PKCS #5 Password-Based Cryptography Specification バージョン 2 (PBES2) を使用します。PBKDF2 と共に PBES2 を使用すると、Certificate System で作成されたファイルのセキュリティーが強化されます。(BZ#1446786)

Certificate System 証明局は以前に発行された署名証明書で署名された CMC 更新要求を処理可能

今回の更新で、以前に発行した署名証明書で署名された Certificate Management over CMS (CMC) の更新要求を証明局 (CA) が処理できるようになりました。この実装は、UniqueKeyConstraint で強化されたプロファイル制約で caFullCMCUserSignedCert を使用し、呼び出された証明書が共有した鍵を更新できないようにアップデートされています。さらに、要求で同じ鍵を共有する最新の証明書の origNotAfter 属性を確保して、属性を RenewGracePeriodConstraint で使用できるようにします。既存の origNotAfter 属性がある場合には、既存の renewal by serial フローと不整合を生じないように、このプロセスでは上書きされません。また、caFullCMCUserSignedCert.cfg プロファイルが UniqueKeyConstraintRenewGracePeriodConstraint を含むように更新されており、正しい順番に配置する必要があります。デフォルトでは、allowSameKeyRenewal パラメーターは、UniqueKeyConstrainttrue に設定されている点に注意してください。(BZ#1419761)

Certificate System は Mozilla NSS のセキュアな乱数生成器を使用

今回の更新で、Certificate System は Mozilla Network Security Services (NSS) が提供するセキュアな乱数生成器を使用するようになりました。これにより、Red Hat Certificate System は、連邦情報処理標準 (FIPS: Federal Information Processing Standard) の要求どおりに、決定論的乱数生成器 (DRBG: Deterministic Random Bit Generator) と Red Hat Enterprise Linux を同期させることができます。(BZ#1452347)

Certificate System での監査イベント変更

Certificate System の監査ログをより簡素化するために、デフォルトで有効な監査イベントのリストが更新されました。さらに、一部のイベントの統合または名称変更が実施されました。
監査イベントがデフォルトで有効となっているサブシステムに関する情報を含め、Red Hat Certificate System 監査イベントの詳細な一覧は、『Red Hat Certificate System Administration Guide』の「Appendix E. Audit Events」を参照してください。(BZ#1445532)

krb5kdcpolicy インターフェースを追加

今回の更新で、kdcpolicyと呼ばれるKerberos キー配信センター (KDC) ポリシーのインターフェースが krb5 パッケージに導入されました。kdcpolicy を使用することで、管理者は krb5 にプラグインを追加でき、チケットの寿命を制御し、サービスチケットの発行をより詳細に制御できるようになります。
詳細は MIT Kerberos ドキュメント (https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html) を参照してください。(BZ#1462982)

Certificate System が SKI 拡張のハッシュアルゴリズムを設定可能に

以前のリリースでは、主体者鍵識別子 (SKI: Subject Key Identifier) の証明書拡張を生成する場合に、Certificate System は SHA1 ハッシュアルゴリズムのみをサポートしていました。今回の更新で、管理者は証明書プロファイルで SKI 拡張のハッシュアルゴリズムを設定できるようになりました。
以下のアルゴリズムを利用できるようになりました。
  • SHA1
  • SHA256
  • SHA384
  • SHA512
デフォルトのアルゴリズムは SHA1 のままであるため、既存のプロファイルは自動的に更新されないので注意してください。(BZ#1024558)

pki コマンドラインインターフェースは自動的にデフォルトの NSS データベースを作成

ユーザー名やパスワードを使用した基本認証など SSL 接続で操作を実行する場合、pki コマンドラインインターフェースでは Network Security Services (NSS) データベースおよびパスワードが必要になります。以前のリリースでは、データベースが存在しない場合や、データベースのパスワードが指定されていない場合には、pki によりエラーが表示されていました。コマンドラインインターフェースが更新され、~/.dogtag/nssdb/ ディレクトリーのパスワードなしで、デフォルトの NSS データベースが自動的に作成されるようになりました。その結果、SSL での操作は、NSS データベースまたはパスワードを指定せずに実行できるようになりました。(BZ#1400645)

Certificate System は強度の弱い 3DES 暗号化設定をデフォルトで無効化

Certificate System は、強度の弱い Triple Data Encryption Standard (3DES) ベースの暗号化設定を、デフォルトで無効にするようになりました。これにより、システムのセキュリティーが強化されます。ただし、管理者は必要に応じてこれらの暗号化設定を再度有効にすることができます。詳細は、『Red Hat Certificate System Administration Guide』を参照してください。
このように、新たな Certificate System インストールのデフォルトでは、強度の強い暗号化設定のみが有効になっています。(BZ#1469169)

Certificate System CA サブシステムの OCSP プロバイダーの応答に nextUpdate フィールドを追加

認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定された場合には、CA サブシステムの Online Certificate Status Protocol (OCSP) のレスポンダーの応答に nextUpdate フィールドが追加されるようになりました。そのため、CA が CRL キャッシュを使用するように設定されている場合には、軽量の OCSP プロファイル (RFC 5019) に準拠するクライアントは OCSP の応答を処理できるようになりました。(BZ#1523443)

ding-libs がバージョン 0.6.1 にリベース

ding-libs パッケージがバージョン 0.6.1 にアップグレードされました。最も重要な変更点は、ding-libs がより大きな値を扱えるようになったことです。これは、ハードコードされた値の文字数に対する制限が排除されたためで、現在の制約は利用可能なメモリー容量だけです。(BZ#1480270)