第25章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーの併用がテクノロジープレビューとして利用可能になっています。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management (IdM) サーバーで DNSSEC (DNS Security Extension) がサポートされています。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する機能拡張セットです。IdM サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた IdM サーバーは、DNSSEC を使って他の DNS サーバーから取得する DNS の応答を認証します。DNS ゾーンが、『Red Hat Enterprise Linux ネットワークガイド』の「推奨される命名プラクティス」に記載の推奨命名規則に準じた設定ではない場合は、その可用性に影響する場合があるため注意してください。(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張によるコマンド動作が互換性なく変わる場合がありました。今回の更新で、IdM API が変更されても、ユーザーは既存のツールやスクリプトを引き続き使用できるようになりました。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信が可能です。通信の一方の側が、例えばある機能向けの新しいオプションが導入された新バージョンを使用していたとしても、特に問題ありません。
API の使用に関する詳細情報は、「Using the Identity Management API to Communicate with the IdM Server (TECHNOLOGY PREVIEW)」を参照してください。(BZ#1298286)

Custodia シークレットサービスプロバイダーが利用可能

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用可能になっています。Custodia はキーやパスワードを保存し、また、それらのプロキシーとして機能します。
詳細については、アップストリームのドキュメント (http://custodia.readthedocs.io) を参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用可能になっています。rhel7/sssd コンテナーイメージは完全サポートとなっていることに留意してください。
詳細は『Using Containerized Identity Management Services』を参照してください。(BZ#1405325、BZ#1405326)