第17章 ID 管理

17.1. Identity Management パッケージがモジュールとしてインストールされる

RHEL 8 では、Identity Management (IdM) サーバーとクライアントのインストールに必要なパッケージがモジュールとして配布されています。client ストリームは、idm モジュールのデフォルトのストリームであるため、このストリームを有効にしなくてもクライアントのインストールに必要なパッケージをダウンロードできます。

IdM サーバーモジュールストリームは DL1 と呼ばれ、さまざまなタイプの IdM サーバーに対応するプロファイルが複数含まれます。

  • サーバー: 統合 DNS のない IdM サーバー
  • DNS: 統合 DNS のある IdM サーバー
  • adtrust: Active Directory と信頼関係のある IdM サーバー
  • クライアント: IdM クライアント

DL1 ストリームの特定のプロファイルにあるパッケージをダウンロードする場合は、以下を行います。

  1. ストリームを有効にします。

    # yum module enable idm:DL1
  2. ストリーム経由で配信される RPM に切り替えます。

    # yum distro-sync
  3. 選択したプロファイルをインストールします。

    # yum module install idm:DL1/profile

    profile を、上で定義した特定のプロファイルのいずれかに置き換えます。

詳細は「Identity Management サーバーに必要なパッケージのインストール」および「Identity Management クライアントのインストールに必要なパッケージ」を参照してください。

17.2. Active Directory ユーザーが Identity Management を管理可能に

Red Hat Enterprise Linux (RHEL) 7 では、System Security Services Daemon (SSSD) で外部グループメンバーシップを使用して、AD ユーザーとグループが POSIX 環境の IdM リソースにアクセスするのを許可します。

IdM LDAP サーバーには、アクセス制御を付与する独自のメカニズムがあります。RHEL 8 には、AD ユーザーに対する ID ユーザーのオーバーライドを、IdM グループのメンバーとして追加できるようにする更新が導入されました。ID オーバーライドは、特定の Active Directory ユーザーまたはグループのプロパティーが特定の ID ビュー (この場合は Default Trust View) 内でどのように見えるかを記述するレコードです。この更新により、IdM LDAP サーバーは、IdM グループのアクセス制御ルールを AD ユーザーに適用できます。

AD ユーザーは、IdM UI のセルフサービス機能 (SSH キーのアップロード、個人のデータの変更など) を使用できるようになりました。AD 管理者は、アカウントおよびパスワードを 2 つ使用しなくても、IdM を完全に管理できるようになります。

注記

IdM の一部の機能は、AD ユーザーには現在利用できません。たとえば、IdM の admins グループに所属する AD ユーザーが、IdM ユーザーのパスワードを設定することはできません。

17.3. RHEL 8 のセッション記録ソリューションが追加

Red Hat Enterprise Linux 8 (RHEL 8) にセッション記録ソリューションが追加されました。新しい tlog パッケージと、それに関連付けられた Web コンソールセッションプレイヤーにより、ユーザー端末セッションを録画および再生できるようになりました。録画は、システムセキュリティーサービスデーモン (SSSD) サービスを介して、ユーザー別またはユーザーグループ別に設定できます。端末への入出力はすべてキャプチャーされ、テキストベースの形式でシステムジャーナルに保存されます。セキュリティー上の理由から、未加工のパスワードやその他の機密情報を傍受されないように、入力はデフォルトでは非アクティブになっています。

このソリューションを、セキュリティーが重要なシステムでユーザーセッションを監査するのに使用できます。セキュリティー違反が発生した場合に、記録したセッションをフォレンジック分析として評価できます。システム管理者は、セッション録画をローカルに設定し、tlog-play ユーティリティーを使用して、RHEL 8 Web コンソールインターフェースまたはコマンドラインインターフェースから、結果を表示できるようになりました。

17.4. Identity Management から削除された機能

17.4.1. NSS データベースが OpenLDAP でサポートされない

以前のバージョンの Red Hat Enterprise Linux (RHEL) における OpenLDAP スイートは、暗号化目的で Mozilla Network Security Services (NSS) を使用しました。RHEL 8 を使用して、OpenLDAP コミュニティーがサポートする OpenSSL は NSS を置き換えます。証明書およびキーを保存する NSS データベースをサポートしません。ただし、同じ目的を担う PEM (Privacy Enhanced Mail) ファイルをサポートします。

17.4.2. 選択した Python Kerberos パッケージが置き換えられている

Red Hat Enterprise Linux (RHEL) 8 では、python-gssapi パッケージが、python-krbVpython-kerberospython-requests-kerberospython-urllib2_kerberos などの Python Kerberos パッケージに置き換えられました。重要な利点には、以下のようなものがあります。

  • python-gssapi は、python-kerberos または python-krbV よりも使いやすくなりました。
  • python 2 および python 3 は、python-gssapi では対応されますが、python-krbV では対応されません。
  • 追加の Kerberos パッケージ python-requests-gssapi および python-urllib-gssapi は、現在、 Extra Packages for Enterprise Linux (EPEL) リポジトリーの追加パッケージで利用できます。

GSSAPI ベースのパッケージは、後方互換性のために、Kerberos だけでなく、NT LAN Manager NTLM など、その他の Generic Security Services API (GSSAPI) メカニズムを使用できます。

この更新により、RHEL 8 の GSSAPI の保守性とデバッグ可能性が向上します。

17.5. SSSD

17.5.1. AD GPO がデフォルトで適用されるようになりました。

RHEL 8 では、ad_gpo_access_control オプションのデフォルト設定が enforcing になっており、Active Directory Group Policy Objects (GPO) に基づくアクセス制御ルールが評価および強制されます。

一方、RHEL 7 のこのオプションのデフォルトは Permissive です。これは評価されますが、GPO ベースのアクセス制御ルールを実施しません。Permissive モードでは、ユーザーが GPO からアクセスを拒否するたびに syslog メッセージが記録されますが、これらのユーザーはログインできます。

注記

Red Hat は、RHEL 7 から RHEL 8 にアップグレードする前に、Active Directory で GPO が正しく設定されていることを確認することを推奨します。

デフォルトの RHEL 7 ホストの承認に影響しない GPO の設定が、デフォルトの RHEL 8 ホストに影響
する可能性があります。

GPO の詳細は、「RHEL でのグループポリシーオブジェクトアクセス制御の適用」およびsssd-ad man ページの ad_gpo_access_control エントリーを参照してください。

17.5.2. authselectauthconfig に置き換え

RHEL 8 では、authconfig ユーティリティーに代わり、authselect ユーティリティーが導入されました。authselect には、システム管理者が PAM 設定変更を簡単に行える、より安全な PAM スタック管理アプローチが含まれています。authselect は、パスワード、証明書、スマートカード、フィンガープリントなどの認証方法を設定するのに使用できます。authselect では、リモートドメインに参加するのに必要なサービスを設定しません。このタスクは、realmdipa-client-install のような専門のツールにより実行されます。

17.5.3. KCM が、KEYRING をデフォルトの認証情報キャッシュストレージとして置き換え

RHEL 8 でデフォルトの認証情報キャッシュストレージは、sssd-kcm デーモンにより強化されている Kerberos Credential Manager (KCM) です。KCM では、以前使用されていた KEYRING の制限 (名前空間がないためにコンテナー化された環境での使用や、クォータの表示および管理が困難など) が解消されています。

今回の更新で、RHEL 8 には、コンテナー環境により適した認証情報キャッシュが含まれ、将来のリリースでより多くの機能を構築するための基盤が提供されます。

17.5.4. sssctl が、IdM ドメインの HBAC ルールレポートを出力

今回の更新で、System Security Services Daemon (SSSD) の sssctl ユーティリティーは、Identity Management (IdM) ドメインのアクセス制御レポートを出力できるようになりました。この機能は、規制上の理由から、特定のクライアントマシンにアクセスできるユーザーとグループの一覧を表示するニーズを満たします。IdM クライアントで sssctl access-report domain_name を実行すると、クライアントマシンに適用する IdM ドメインで解析されたホストベースのアクセス制御 (HBAC) ルールのサブセットを表示します。

IdM 以外のプロバイダーは、この機能に対応していません。

17.5.5. SSSD によりローカルユーザーがキャッシュに格納され、nss_sss モジュールにより処理される

RHEL 8 の System Security Services Daemon (SSSD) は、デフォルトで /etc/passwd ファイルおよび /etc/groups ファイルから、ユーザーとグループにサービスを提供します。sss の nsswitch モジュールは、/etc/nsswitch.conf のファイルに先行します。

SSSD を通して、ローカルユーザーにサービスを提供する利点は、nss_sss モジュールに memory-mapped cache があるため、NSS (Name Service Switch) への各要求でディスクにアクセスしてファイルを開くのと比較して、Name Service Switch (NSS) ルックアップが高速になることでした。これまで、ディスクへのアクセスの高速化は、Name サービスキャッシュデーモン (nscd) により行われていました。ただし、SSSD と nscd の両方が独自の独立したキャッシュを使用するため、nscd と SSSD を並行して使用するのは容易ではありません。そのため、SSSD が、リモートドメイン (LDAP、Active Directory など) のユーザーにもサービスを提供している環境で nscd を使用すると、予期しない動作が発生する可能性があります。

今回の更新で、RHEL 8 でローカルユーザーおよびグループの解決が速くなりました。root ユーザーは、SSSD に処理されることがないため、SSSD の潜在的なバグが root の解決に影響を及ぼすことはありません。また、SSSD が実行していない場合は、問題を回避するために、nss_sss モジュールが nss_files にフォールバックすることでこの状況が適切に処理されます。SSSD を設定する必要はありません。files ドメインは自動的に追加されます。

17.5.6. SSSD で、複数のスマートカード認証デバイスの中から 1 つを選択可能

デフォルトでは、SSSD (System Security Services Daemon) が、スマートカード認証用デバイスを自動的に検出しようとします。複数のデバイスを接続している場合は、最初に見つかったデバイスを SSSD が選択します。したがって、特定のデバイスを選択することはできません。失敗する可能性もあります。

この更新では、sssd.conf 設定ファイルの [pam] セクションに、新しい p11_uri オプションを設定できるようになりました。このオプションを使用すると、スマートカード認証に使用するデバイスを定義できます。

たとえば、OpenSC PKCS#11 モジュールにより検出されたスロット ID 2 のリーダーを選択するには、以下を追加します。

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

sssd.conf[pam] セクションに追加します。

詳細は、man sssd.conf ページを参照してください。

17.6. 削除された SSSD 機能

17.6.1. sssd-secrets が削除される

System Security Services Daemon (SSSD) の sssd-secrets コンポーネントは、Red Hat Enterprise Linux 8 から削除されました。Custodia シークレットサービスプロバイダーが、以前よりも活発に開発されなくなったためです。その他の Identity Management ツールを使用して Identity Management Vault などのシークレットを保存します。


このページには機械翻訳が使用されている場合があります (詳細はこちら)。