第17章 ID 管理
17.1. Identity Management パッケージがモジュールとしてインストールされる
RHEL 8 では、Identity Management (IdM) サーバーとクライアントのインストールに必要なパッケージがモジュールとして配布されています。client
ストリームは、idm
モジュールのデフォルトのストリームであるため、このストリームを有効にしなくてもクライアントのインストールに必要なパッケージをダウンロードできます。
IdM サーバーモジュールストリームは DL1
と呼ばれ、さまざまなタイプの IdM サーバーに対応するプロファイルが複数含まれます。
-
サーバー
: 統合 DNS のない IdM サーバー -
DNS
: 統合 DNS のある IdM サーバー -
adtrust
: Active Directory と信頼関係のある IdM サーバー -
クライアント
: IdM クライアント
DL1
ストリームの特定のプロファイルにあるパッケージをダウンロードする場合は、以下を行います。
ストリームを有効にします。
# yum module enable idm:DL1
ストリーム経由で配信される RPM に切り替えます。
# yum distro-sync
選択したプロファイルをインストールします。
# yum module install idm:DL1/profile
profile を、上で定義した特定のプロファイルのいずれかに置き換えます。
詳細は「Identity Management サーバーに必要なパッケージのインストール」および「Identity Management クライアントのインストールに必要なパッケージ」を参照してください。
17.2. Active Directory ユーザーが Identity Management を管理可能に
Red Hat Enterprise Linux (RHEL) 7 では、System Security Services Daemon (SSSD) で外部グループメンバーシップを使用して、AD ユーザーとグループが POSIX 環境の IdM リソースにアクセスするのを許可します。
IdM LDAP サーバーには、アクセス制御を付与する独自のメカニズムがあります。RHEL 8 には、AD ユーザーに対する ID ユーザーのオーバーライドを、IdM グループのメンバーとして追加できるようにする更新が導入されました。ID オーバーライドは、特定の Active Directory ユーザーまたはグループのプロパティーが特定の ID ビュー (この場合は Default Trust View) 内でどのように見えるかを記述するレコードです。この更新により、IdM LDAP サーバーは、IdM グループのアクセス制御ルールを AD ユーザーに適用できます。
AD ユーザーは、IdM UI のセルフサービス機能 (SSH キーのアップロード、個人のデータの変更など) を使用できるようになりました。AD 管理者は、アカウントおよびパスワードを 2 つ使用しなくても、IdM を完全に管理できるようになります。
IdM の一部の機能は、AD ユーザーには現在利用できません。たとえば、IdM の admins
グループに所属する AD ユーザーが、IdM ユーザーのパスワードを設定することはできません。
17.3. RHEL 8 のセッション記録ソリューションが追加
Red Hat Enterprise Linux 8 (RHEL 8) にセッション記録ソリューションが追加されました。新しい tlog
パッケージと、それに関連付けられた Web コンソールセッションプレイヤーにより、ユーザー端末セッションを録画および再生できるようになりました。録画は、システムセキュリティーサービスデーモン (SSSD) サービスを介して、ユーザー別またはユーザーグループ別に設定できます。端末への入出力はすべてキャプチャーされ、テキストベースの形式でシステムジャーナルに保存されます。セキュリティー上の理由から、未加工のパスワードやその他の機密情報を傍受されないように、入力はデフォルトでは非アクティブになっています。
このソリューションを、セキュリティーが重要なシステムでユーザーセッションを監査するのに使用できます。セキュリティー違反が発生した場合に、記録したセッションをフォレンジック分析として評価できます。システム管理者は、セッション録画をローカルに設定し、tlog-play
ユーティリティーを使用して、RHEL 8 Web コンソールインターフェースまたはコマンドラインインターフェースから、結果を表示できるようになりました。
17.4. Identity Management から削除された機能
17.4.1. NSS データベースが OpenLDAP でサポートされない
以前のバージョンの Red Hat Enterprise Linux (RHEL) における OpenLDAP スイートは、暗号化目的で Mozilla Network Security Services (NSS) を使用しました。RHEL 8 を使用して、OpenLDAP コミュニティーがサポートする OpenSSL は NSS を置き換えます。証明書およびキーを保存する NSS データベースをサポートしません。ただし、同じ目的を担う PEM (Privacy Enhanced Mail) ファイルをサポートします。
17.4.2. 選択した Python Kerberos パッケージが置き換えられている
Red Hat Enterprise Linux (RHEL) 8 では、python-gssapi
パッケージが、python-krbV
、python-kerberos
、python-requests-kerberos
、python-urllib2_kerberos
などの Python Kerberos パッケージに置き換えられました。重要な利点には、以下のようなものがあります。
-
python-gssapi
は、python-kerberos
またはpython-krbV
よりも使いやすくなりました。 -
python 2
およびpython 3
は、python-gssapi
では対応されますが、python-krbV
では対応されません。 -
追加の Kerberos パッケージ
python-requests-gssapi
およびpython-urllib-gssapi
は、現在、 Extra Packages for Enterprise Linux (EPEL) リポジトリーの追加パッケージで利用できます。
GSSAPI ベースのパッケージは、後方互換性のために、Kerberos だけでなく、NT LAN Manager NTLM
など、その他の Generic Security Services API (GSSAPI) メカニズムを使用できます。
この更新により、RHEL 8 の GSSAPI の保守性とデバッグ可能性が向上します。
17.5. SSSD
17.5.1. AD GPO がデフォルトで適用されるようになりました。
RHEL 8 では、ad_gpo_access_control
オプションのデフォルト設定が enforcing
になっており、Active Directory Group Policy Objects (GPO) に基づくアクセス制御ルールが評価および強制されます。
一方、RHEL 7 のこのオプションのデフォルトは Permissive
です。これは評価されますが、GPO ベースのアクセス制御ルールを実施しません。Permissive
モードでは、ユーザーが GPO からアクセスを拒否するたびに syslog メッセージが記録されますが、これらのユーザーはログインできます。
Red Hat は、RHEL 7 から RHEL 8 にアップグレードする前に、Active Directory で GPO が正しく設定されていることを確認することを推奨します。
デフォルトの RHEL 7 ホストの承認に影響しない GPO の設定が、デフォルトの RHEL 8 ホストに影響 する可能性があります。
GPO の詳細は、「RHEL でのグループポリシーオブジェクトアクセス制御の適用」およびsssd-ad
man ページの ad_gpo_access_control
エントリーを参照してください。
17.5.2. authselect
が authconfig
に置き換え
RHEL 8 では、authconfig
ユーティリティーに代わり、authselect
ユーティリティーが導入されました。authselect
には、システム管理者が PAM 設定変更を簡単に行える、より安全な PAM スタック管理アプローチが含まれています。authselect
は、パスワード、証明書、スマートカード、フィンガープリントなどの認証方法を設定するのに使用できます。authselect
では、リモートドメインに参加するのに必要なサービスを設定しません。このタスクは、realmd
、ipa-client-install
のような専門のツールにより実行されます。
17.5.3. KCM が、KEYRING をデフォルトの認証情報キャッシュストレージとして置き換え
RHEL 8 でデフォルトの認証情報キャッシュストレージは、sssd-kcm
デーモンにより強化されている Kerberos Credential Manager (KCM) です。KCM では、以前使用されていた KEYRING の制限 (名前空間がないためにコンテナー化された環境での使用や、クォータの表示および管理が困難など) が解消されています。
今回の更新で、RHEL 8 には、コンテナー環境により適した認証情報キャッシュが含まれ、将来のリリースでより多くの機能を構築するための基盤が提供されます。
17.5.4. sssctl
が、IdM ドメインの HBAC ルールレポートを出力
今回の更新で、System Security Services Daemon (SSSD) の sssctl
ユーティリティーは、Identity Management (IdM) ドメインのアクセス制御レポートを出力できるようになりました。この機能は、規制上の理由から、特定のクライアントマシンにアクセスできるユーザーとグループの一覧を表示するニーズを満たします。IdM クライアントで sssctl access-report
domain_name
を実行すると、クライアントマシンに適用する IdM ドメインで解析されたホストベースのアクセス制御 (HBAC) ルールのサブセットを表示します。
IdM 以外のプロバイダーは、この機能に対応していません。
17.5.5. SSSD によりローカルユーザーがキャッシュに格納され、nss_sss
モジュールにより処理される
RHEL 8 の System Security Services Daemon (SSSD) は、デフォルトで /etc/passwd
ファイルおよび /etc/groups
ファイルから、ユーザーとグループにサービスを提供します。sss
の nsswitch モジュールは、/etc/nsswitch.conf
のファイルに先行します。
SSSD を通して、ローカルユーザーにサービスを提供する利点は、nss_sss
モジュールに memory-mapped cache
があるため、NSS (Name Service Switch) への各要求でディスクにアクセスしてファイルを開くのと比較して、Name Service Switch (NSS) ルックアップが高速になることでした。これまで、ディスクへのアクセスの高速化は、Name サービスキャッシュデーモン (nscd
) により行われていました。ただし、SSSD と nscd
の両方が独自の独立したキャッシュを使用するため、nscd
と SSSD を並行して使用するのは容易ではありません。そのため、SSSD が、リモートドメイン (LDAP、Active Directory など) のユーザーにもサービスを提供している環境で nscd
を使用すると、予期しない動作が発生する可能性があります。
今回の更新で、RHEL 8 でローカルユーザーおよびグループの解決が速くなりました。root
ユーザーは、SSSD に処理されることがないため、SSSD の潜在的なバグが root
の解決に影響を及ぼすことはありません。また、SSSD が実行していない場合は、問題を回避するために、nss_sss
モジュールが nss_files
にフォールバックすることでこの状況が適切に処理されます。SSSD を設定する必要はありません。files ドメインは自動的に追加されます。
17.5.6. SSSD で、複数のスマートカード認証デバイスの中から 1 つを選択可能
デフォルトでは、SSSD (System Security Services Daemon) が、スマートカード認証用デバイスを自動的に検出しようとします。複数のデバイスを接続している場合は、最初に見つかったデバイスを SSSD が選択します。したがって、特定のデバイスを選択することはできません。失敗する可能性もあります。
この更新では、sssd.conf
設定ファイルの [pam]
セクションに、新しい p11_uri
オプションを設定できるようになりました。このオプションを使用すると、スマートカード認証に使用するデバイスを定義できます。
たとえば、OpenSC PKCS#11 モジュールにより検出されたスロット ID 2
のリーダーを選択するには、以下を追加します。
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
sssd.conf
の [pam]
セクションに追加します。
詳細は、man sssd.conf
ページを参照してください。
17.6. 削除された SSSD 機能
17.6.1. sssd-secrets
が削除される
System Security Services Daemon (SSSD) の sssd-secrets
コンポーネントは、Red Hat Enterprise Linux 8 から削除されました。Custodia シークレットサービスプロバイダーが、以前よりも活発に開発されなくなったためです。その他の Identity Management ツールを使用して Identity Management Vault などのシークレットを保存します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。