Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第5章 認証および相互運用性
Certificate System がデフォルトで追加の強力な暗号に対応するようになりました。
今回の更新で、Certificate System では、連邦情報処理標準 (FIPS) に準拠する以下の追加の暗号がデフォルトで有効になっています。
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_GCM_SHA384
有効な暗号の完全なリストについては、次のように入力します。
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
Certificate System で Hardware Security Module (HSM)を使用する場合は、対応している暗号の HSM のドキュメントを参照してください。(BZ#1550786)
samba がバージョン 4.8.3 にリベースされました。
samba パッケージがアップストリームバージョン 4.8.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
smbd
サービスは、Active Directory ドメインコントローラーおよび NT4 プライマリードメインコントローラーからユーザーとグループの情報を直接照会しなくなりました。セキュリティー
パラメーターをads
またはdomain
に設定してインストールするには、winbindd
サービスが実行されている必要があります。winbindd
プロセス内の信頼できるドメインのグローバルリストへの依存が軽減されました。グローバルリストを必要としないインストールの場合は、/etc/samba/smb.conf
ファイルのwinbind scan trusted domains
パラメーターをno
に設定します。詳細については、smb.conf(5)
man ページのパラメーターの説明を参照してください。- wbinfo -m --verbose コマンドの出力に表示される信頼プロパティーは、コマンドが実行されるシステムのステータスを正しく反映するように変更されました。
idmap_rid
およびidmap_autorid
ID マッピングバックエンドを使用する場合、一方向信頼のユーザーからの認証が正しく機能するようになりました。
Samba は、
smbd
デーモン、nmbd
デーモン、または winbind
デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノート https://www.samba.org/samba/history/samba-4.8.0.html を参照してください。(BZ#1558560)
ディレクトリーサーバーがバージョン 1.3.8.4 にリベース
389-ds-base パッケージがアップストリームバージョン 1.3.8.4 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。
Certificate System がバージョン 10.5.9 にリベースされました
pki-core パッケージがアップストリームバージョン 10.5.9 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。(BZ#1557569)
jss がバージョン 4.4.4 にリベース
jss パッケージがアップストリームバージョン 4.4.4 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。(BZ#1557575)
CRMFPopClient ユーティリティーは、キーのアーカイブなしの CRMF リクエストをサポートします
この機能拡張により、ユーザーは CRMFPopClient ユーティリティーを使用するときに、キーアーカイブオプションを使用せずに証明書要求メッセージフォーマット (CRMF) リクエストを作成できるようになります。この機能により、Key Recovery Authority (KRA) 証明書が必要なくなるため、柔軟性が向上します。以前は、ユーザーが -b Transport_certificate_file オプションを CRMFPopClient に渡さなかった場合、ユーティリティーは、transport.txt ファイルに保存されている KRA トランスポート証明書を自動的に使用していました。今回の更新により、-b Transport_certificate_file が指定されていない場合、Certificate System はキーのアーカイブを使用せずにリクエストを作成します。(BZ#1585866)
Certificate System は、ECC 証明書を使用してルート CA を設定するときに ECC プロファイルを自動的に適用します
この更新により、Certificate System が強化され、
pkispawn
ユーティリティーを使用して ECC プロファイルを使用して新しいルート CA を設定するときに、ECC プロファイルが自動的に適用されるようになりました。その結果、管理者はルート CA の設定時に pkispawn
に渡される設定ファイルで回避策として ECC 証明書のプロファイル上書きパラメーターを設定する必要がなくなりました。(BZ#1550742)
Certificate System により、SAN 拡張機能がサーバー証明書に追加されるようになりました
この更新により、Certificate System はデフォルトでサブジェクト代替名 (SAN) 拡張をサーバー証明書に追加し、それを証明書の共通名 (CN) に設定します。(BZ#1562423)
X.509 証明書と CRL を作成するための低レベル API が JSS に追加されました
この機能強化により、X.509 証明書および証明書失効リスト (CRL) を Java Security Services (JSS) に作成するために使用できる低レベル API が追加されます。(BZ#1560682)
pcsc-lite-ccid
ドライバーが新しいスマートカードリーダーをサポートするようになりました
以前は、
pcsc-lite-ccid
ドライバーは特定のスマートカードリーダーを検出しませんでした。この機能拡張により、これらのリーダーの USB-ID 値がドライバーに追加されます。その結果、pcsc-lite-ccid
は、説明されているシナリオでスマートカードリーダーを検出するようになりました。
Red Hat は、USB-ID が追加されたスマートカードリーダーをテストしていないことに注意してください。(BZ#1558258)
pam_pkcs11
モジュールで証明書チェーンがサポートされるようになりました。
この更新により、
pam_pkcs11
モジュールが拡張され、X.509 の公開キー基盤 (PKIX) 証明書チェーンがサポートされるようになりました。これにより、リーフ証明書への複数のパスを含む、より複雑なチェーン処理が可能になります。その結果、pam_pkcs11
は PKIX 証明書チェーンを検証するようになりました。(BZ#1578029)
dnssec-keymgr
は DNSSEC キーのロールオーバーを自動化します
この更新では、DNSSEC (DNSSEC) キーのロールオーバーを自動化するユーティリティーである
dnssec-keymgr
が導入されています。dnssec-keymgr
は、設定可能なポリシーがシンプルであるため、セキュアゾーンの DNS キーの長期自動管理を可能にします。これにより、DNS サービスを中断することなく、キーをシームレスにロールアウトできるようになります。(BZ#1510008)
選択したドメインに対して DNSSEC バリデーションを無効にすることができます
以前は、DNSSEC バリデーションが有効になっており、特定のドメインが失敗した場合、そのドメイン内のホストに到達できませんでした。このリリースでは、攻撃ではなく誤った設定が原因でバリデーションが失敗した場合に、選択したゾーンの DNS セキュリティー拡張 (DNSSEC) 検証からの除外を設定できます。障害が発生したドメイン内のホストのアドレスは未署名として解決され、アクセス可能ですが、他のすべての名前はセキュリティーリスクについて検証されます。(BZ#1452091)
IdM クライアント上の SSSD
が、特定の AD サイトまたは AD DC に対して認証できるようになりました
Active Directory (AD) との信頼関係を持つドメイン内の Identity Management (IdM) クライアント上で実行される
System Security Services Daemon
(SSSD) を、設定された AD サイトまたは設定された一連の AD ドメインコントローラーに対して認証するように固定できるようになりました (DC)。
以前は、
SSSD
は libkrb5 によって行われる DNS SRV 検出に完全に依存していました。ただし、libkrb5 には AD サイトの概念がないため、これには AD サイトは考慮されていません。管理者が一連の AD DC に対して認証するために SSSD
を固定したい場合は、/etc/krb5.conf
ファイルに正しいキー配布センター (KDC) を設定する必要がありましたが、これは直感的ではありませんでした。
この拡張機能は、以前は各クライアントの
/etc/krb5.conf
ファイルを個別に変更することが唯一の解決策であった大規模環境で特に便利です。(BZ#1416528)