Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第5章 認証および相互運用性

Certificate System がデフォルトで追加の強力な暗号に対応するようになりました。

今回の更新で、Certificate System では、連邦情報処理標準 (FIPS) に準拠する以下の追加の暗号がデフォルトで有効になっています。
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
有効な暗号の完全なリストについては、次のように入力します。 
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
Certificate System で Hardware Security Module (HSM)を使用する場合は、対応している暗号の HSM のドキュメントを参照してください。(BZ#1550786)

samba がバージョン 4.8.3 にリベースされました。

samba パッケージがアップストリームバージョン 4.8.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
  • smbd サービスは、Active Directory ドメインコントローラーおよび NT4 プライマリードメインコントローラーからユーザーとグループの情報を直接照会しなくなりました。セキュリティー パラメーターを ads または domain に設定してインストールするには、winbindd サービスが実行されている必要があります。
  • winbindd プロセス内の信頼できるドメインのグローバルリストへの依存が軽減されました。グローバルリストを必要としないインストールの場合は、/etc/samba/smb.conf ファイルの winbind scan trusted domains パラメーターを no に設定します。詳細については、smb.conf(5) man ページのパラメーターの説明を参照してください。
  • wbinfo -m --verbose コマンドの出力に表示される信頼プロパティーは、コマンドが実行されるシステムのステータスを正しく反映するように変更されました。
  • idmap_rid および idmap_autorid ID マッピングバックエンドを使用する場合、一方向信頼のユーザーからの認証が正しく機能するようになりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノート https://www.samba.org/samba/history/samba-4.8.0.html を参照してください。(BZ#1558560)

ディレクトリーサーバーがバージョン 1.3.8.4 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.8.4 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。

Certificate System がバージョン 10.5.9 にリベースされました

pki-core パッケージがアップストリームバージョン 10.5.9 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。(BZ#1557569)

jss がバージョン 4.4.4 にリベース

jss パッケージがアップストリームバージョン 4.4.4 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。(BZ#1557575)

CRMFPopClient ユーティリティーは、キーのアーカイブなしの CRMF リクエストをサポートします

この機能拡張により、ユーザーは CRMFPopClient ユーティリティーを使用するときに、キーアーカイブオプションを使用せずに証明書要求メッセージフォーマット (CRMF) リクエストを作成できるようになります。この機能により、Key Recovery Authority (KRA) 証明書が必要なくなるため、柔軟性が向上します。以前は、ユーザーが -b Transport_certificate_file オプションを CRMFPopClient に渡さなかった場合、ユーティリティーは、transport.txt ファイルに保存されている KRA トランスポート証明書を自動的に使用していました。今回の更新により、-b Transport_certificate_file が指定されていない場合、Certificate System はキーのアーカイブを使用せずにリクエストを作成します。(BZ#1585866)

Certificate System は、ECC 証明書を使用してルート CA を設定するときに ECC プロファイルを自動的に適用します

この更新により、Certificate System が強化され、pkispawn ユーティリティーを使用して ECC プロファイルを使用して新しいルート CA を設定するときに、ECC プロファイルが自動的に適用されるようになりました。その結果、管理者はルート CA の設定時に pkispawn に渡される設定ファイルで回避策として ECC 証明書のプロファイル上書きパラメーターを設定する必要がなくなりました。(BZ#1550742)

Certificate System により、SAN 拡張機能がサーバー証明書に追加されるようになりました

この更新により、Certificate System はデフォルトでサブジェクト代替名 (SAN) 拡張をサーバー証明書に追加し、それを証明書の共通名 (CN) に設定します。(BZ#1562423)

X.509 証明書と CRL を作成するための低レベル API が JSS に追加されました

この機能強化により、X.509 証明書および証明書失効リスト (CRL) を Java Security Services (JSS) に作成するために使用できる低レベル API が追加されます。(BZ#1560682)

pcsc-lite-ccid ドライバーが新しいスマートカードリーダーをサポートするようになりました

以前は、pcsc-lite-ccid ドライバーは特定のスマートカードリーダーを検出しませんでした。この機能拡張により、これらのリーダーの USB-ID 値がドライバーに追加されます。その結果、pcsc-lite-ccid は、説明されているシナリオでスマートカードリーダーを検出するようになりました。
Red Hat は、USB-ID が追加されたスマートカードリーダーをテストしていないことに注意してください。(BZ#1558258)

pam_pkcs11 モジュールで証明書チェーンがサポートされるようになりました。

この更新により、pam_pkcs11 モジュールが拡張され、X.509 の公開キー基盤 (PKIX) 証明書チェーンがサポートされるようになりました。これにより、リーフ証明書への複数のパスを含む、より複雑なチェーン処理が可能になります。その結果、pam_pkcs11 は PKIX 証明書チェーンを検証するようになりました。(BZ#1578029)

dnssec-keymgr は DNSSEC キーのロールオーバーを自動化します

この更新では、DNSSEC (DNSSEC) キーのロールオーバーを自動化するユーティリティーである dnssec-keymgr が導入されています。dnssec-keymgr は、設定可能なポリシーがシンプルであるため、セキュアゾーンの DNS キーの長期自動管理を可能にします。これにより、DNS サービスを中断することなく、キーをシームレスにロールアウトできるようになります。(BZ#1510008)

選択したドメインに対して DNSSEC バリデーションを無効にすることができます

以前は、DNSSEC バリデーションが有効になっており、特定のドメインが失敗した場合、そのドメイン内のホストに到達できませんでした。このリリースでは、攻撃ではなく誤った設定が原因でバリデーションが失敗した場合に、選択したゾーンの DNS セキュリティー拡張 (DNSSEC) 検証からの除外を設定できます。障害が発生したドメイン内のホストのアドレスは未署名として解決され、アクセス可能ですが、他のすべての名前はセキュリティーリスクについて検証されます。(BZ#1452091)

IdM クライアント上の SSSD が、特定の AD サイトまたは AD DC に対して認証できるようになりました

Active Directory (AD) との信頼関係を持つドメイン内の Identity Management (IdM) クライアント上で実行される System Security Services Daemon (SSSD) を、設定された AD サイトまたは設定された一連の AD ドメインコントローラーに対して認証するように固定できるようになりました (DC)。
以前は、SSSD は libkrb5 によって行われる DNS SRV 検出に完全に依存していました。ただし、libkrb5 には AD サイトの概念がないため、これには AD サイトは考慮されていません。管理者が一連の AD DC に対して認証するために SSSD を固定したい場合は、/etc/krb5.conf ファイルに正しいキー配布センター (KDC) を設定する必要がありましたが、これは直感的ではありませんでした。
この拡張機能は、以前は各クライアントの /etc/krb5.conf ファイルを個別に変更することが唯一の解決策であった大規模環境で特に便利です。(BZ#1416528)