第5章 認証および相互運用性

証明書システムが、デフォルトで追加の強力な暗号をサポート

この更新で、FIPS (Federal Information Processing Standard) に順守している以下の追加暗号が、証明書システムでデフォルトで有効になっています。
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
有効な暗号の完全な一覧は、次のコマンドを実行して表示します。
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
証明書システムを持つ HSM (Hardware Security Module) を使用している場合は、サポートされる暗号に関する HSM ドキュメントを参照してください。(BZ#1550786)

samba がバージョン 4.8.3 にリベース

samba パッケージがアップストリームバージョン 4.8.3 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • smbd サービスは、Active Directory ドメインコントローラーおよび NT4 プライマリードメインコントローラーから直接ユーザーおよびグループの情報をクエリーしなくなりました。そのため、インストールで security パラメーターを ads または domain に設定した場合は、winbindd サービスを実行しておく必要があります。
  • winbindd プロセスで信頼されているドメインのグローバル一覧の依存関係が少なくなっています。/etc/samba/smb.conf ファイルの winbind scan trusted domains パラメーターを no に設定します。詳細は、man ページ smb.conf(5) にあるパラメーターの説明を参照してください。
  • wbinfo -m --verbose コマンドの出力で表示された信頼プロパティーが、コマンドを実行したシステムのステータスを正しく反映するように変更されています。
  • idmap_rid および idmap_autorid の ID マッピングバックエンドを使用する際に、一方向の信頼があるユーザーからの認証が正しく機能するようになりました。
smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba を起動する前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルをダウングレードするサポートは行っていないためご注意ください。
更新する前に、主な変更の詳細について、アップストリームのリリースノート (「Samba 4.8.0 Available for Download」) を参照してください。(BZ#1558560)

Directory Server がバージョン 1.3.8.4 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.8.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。更新する前に、アップストリームのリリースノートで主な変更の一覧を確認してください。

証明書システムがバージョン 10.5.9 にリベース

pki-core パッケージがアップストリームバージョン 10.5.9 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。(BZ#1557569)

jss がバージョン 4.4.4 にリベース

jss パッケージがアップストリームのバージョン 4.4.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。(BZ#1557575)

CRMFPopClient ユーティリティーが、キーのアーカイブを使用しない CRMF 要求をサポート

この機能強化により、CRMFPopClient ユーティリティーを使用してキーアーカイブオプションを使用せずに、CRMF (Certificate Request Message Format) 要求を作成できるようになりました。この機能により KRA (Key Recovery Authority) 証明書が必要なくなったため、柔軟性が増します。以前は、-b transport_certificate_file オプションを CRMFPopClient に渡しておかないと、ユーティリティーが、transport.txt ファイルに保存されている KRA 転送証明書を自動的に使用しました。この更新により、-b transport_certificate_file が指定されていない場合に、証明書システムがキーアーカイブを使用せずに要求を作成するようになります。(BZ#1585866)

証明書システムが、ECC 証明書を持つルート認証局を設定する際に ECC プロファイルを自動的に適用

この更新により、pkispawn ユーティリティーを使用して ECC プロファイルを使用する新しいルート認証局を設定する際に、ECC プロファイルを自動的に適用する証明書システムが強化されました。その結果、管理者が、ルート認証局を設定する際に pkispawn に渡された設定ファイルに、回避策として ECC 証明書に対してプロファイルの上書きパラメーターを設定する必要がなくなりました。(BZ#1550742)

証明書システムが、サーバー証明書に SAN 拡張を追加

この更新により、証明書システムが SAN (Subject Alternative Name) をサーバー証明書にデフォルトで追加し、証明書のコモンネーム (CN) に設定します。(BZ#1562423)

X.509 証明書および CRL を作成する低レベル API を JSS に追加

この機能拡張により、X.509 証明書および CRL (certificate revocation lists) を作成するのに使用できる低レベル API が JSS (Java Security Services) に追加されます。(BZ#1560682)

pcsc-lite-ccid ドライバーが新しいスマートカードリーダーをサポート

以前は、pcsc-lite-ccid ドライバーが、特定のスマートカードリーダーを検出しませんでした。この機能により、これらのリーダーの USB-ID 値を追加します。その結果、pcsc-lite-ccid は、説明されているシナリオでスマートカードリーダーを検出します。
Red Hat は、USB-ID が追加されたスマートカードリーダーをテストしていませんでした。(BZ#1558258)

pam_pkcs11 モジュールが証明書チェーンをサポート

この更新により、pam_pkcs11 が X.509 (PKIX) 証明書チェーンに対して公開キーインフラストラクチャーをサポートするようになりました。これにより、複雑なチェーン処理が有効になり、リーフ証明書への複数のパスが追加されました。その結果、pam_pkcs11 は、PKIX 証明書チェーンを検証するようになりました。(BZ#1578029)

dnssec-keymgr が DNSSEC キーのロールオーバーを自動化

この更新により、DNSSEC (DNS Security Extensions) キーロールオーバーを自動化するユーティリティーである dnssec-keymgr が追加されました。dnssec-keymgr は、単純な設定可能ポリシーにより、安全なゾーンに対する DNS キーの自動的な長期管理を有効にします。これにより、DNS サービスを中断せずに、キーをシームレスにロールアウトできます。(BZ#1510008)

選択したドメインに対して DNSSEC 検証を無効にできます。

以前は、DNSSEC 検証が有効で、特定のドメインが失敗している場合は、そのドメインのホストに到達できませんでした。このリリースでは、検証に失敗したのが、攻撃のせいではなく設定の誤りに原因がある場合は、選択したゾーンの DNSSEC (DNS Security Extensions) 検証からの除外を設定できます。失敗したドメインのホストのアドレスは署名なしとして解決され到達できますが、その他のすべての名前はセキュリティーリスクに対して検証できます。(BZ#1452091)

IdM クライアントの SSSD が、特定の AD サイトまたは AD DC に対して認証可能

アクティブディレクトリー (AD) との信頼関係を持つドメインで IdM (Identity Management) クライアントで実行している System Security Services Daemon (SSSD) が、構成した ADサイト、または AD ドメインコントローラー (DC) の構成された設定に対して認証するようにピン留めされるようになりました。
以前は、SSSD で DNS SRV 検出を行う際に libkrb5 に完全に依存していましたが、libkrb5 には AD サイトの概念がないため、AD サイトが考慮されることはありませんでした。したがって、管理者が、SSSD をピン留めして AD DC のセットに対して認証する場合に、非直感的であった /etc/krb5.conf ファイルに正しい KDC (Key Distribution Centre) を設定する必要がありました。
この機能強化は、大規模環境で特に役に立ちます。以前の大規模環境では、各クライアントで /etc/krb5.conf ファイルを変更することが唯一の有効な解決策でした。(BZ#1416528)

このページには機械翻訳が使用されている場合があります (詳細はこちら)。