Red Hat Training

A Red Hat training course is available for RHEL 8

1.3. IdM のカスタム設定要件

DNS、Kerberos、Apache、Directory Server などのサービスのカスタム設定を行わずに、クリーンなシステムに Identity Managementt (IdM) をインストールします。

IdM サーバーのインストールは、システムファイルを上書きして、IdM ドメインを設定します。IdM は、元のシステムファイルを /var/lib/ipa/sysrestore/ にバックアップします。ライフサイクルの最後に Identity Management サーバーをアンインストールすると、このファイルが復元します。

IdM における IPv6 要件

IdM システムでは、カーネル内で IPv6 プロトコルが有効になっている必要があります。IPv6 が無効になっていると、IdM サービスが使用する CLDAP プラグインが初期化に失敗します。

注記

ネットワーク上で IPv6 を有効にする必要はありません。

IdM における暗号化タイプのサポート

Red Hat Enterprise Linux (RHEL) は、Kerberos プロトコルのバージョン 5 を使用します。これは、Advanced Encryption Standard (AES)、Camel、Data Encryption Standard (DES) などの暗号化タイプをサポートします。

サポートされる暗号化タイプの一覧

IdM サーバーおよびクライアントの Kerberos ライブラリーは、より多くの暗号化タイプに対応している可能性がありますが、IdM Kerberos Distribution Center (KDC) は以下の暗号化タイプのみに対応します。

  • aes256-cts:normal
  • aes256-cts:special (default)
  • aes128-cts:normal
  • aes128-cts:special (デフォルト)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

RC4 暗号化タイプがデフォルトで無効

以下の RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、RHEL 8 ではデフォルトで非推奨となり、無効にされています。

  • arcfour-hmac:normal
  • arcfour-hmac:special

古い Active Directory 環境との互換性のために RC4 サポートを手動で有効にする方法は、「AD および RHEL で一般的な暗号化タイプに対応」を参照してください。

DES および 3DES 暗号化のサポートが削除される

セキュリティー上の理由から、DES アルゴリズムへの対応は RHEL 7 では非推奨となりました。RHEL 8.3.0 での Kerberos パッケージのリベースにより、RHEL 8 からシングル DES (DES) およびトリプル DES (3DES) 暗号化タイプのサポートが削除されました。

注記

標準の RHEL 8 IdM インストールでは、DES または 3DES 暗号化タイプはデフォルトでは使用されず、Kerberos のアップグレードによる影響を受けません。

DES や 3DES 暗号化 のみ を使用するようにサービスまたはユーザーを手動で設定すると (レガシークライアントなど)、最新の Kerberos パッケージに更新した後にサービスが中断される可能性があります。

  • Kerberos 認証エラー
  • unknown enctype 暗号化エラー
  • DES で暗号化されたデータベースマスターキー(K/M)を使用する KDC が起動に失敗する

Red Hat では、お使いの環境で DES または 3DES 暗号化を使用しないことを推奨します。

注記

DES および 3DES 暗号化タイプは、環境で使用するように設定している場合に限り無効にする必要があります。

IdM でのシステム全体の暗号化ポリシーのサポート

IdM は、システム全体の暗号化ポリシー DEFAULT を使用します。このポリシーは、現在の脅威モデルに安全な設定を提供します。TLS プロトコル 1.2 と 1.3、IKEv2 プロトコル、および SSH2 プロトコルが使用できます。RSA 鍵と Diffie-Hellman パラメーターは長さが 2048 ビット以上であれば許容されます。このポリシーは、DES、3DES、RC4、DSA、TLS v1.0、およびその他の弱いアルゴリズムを許可しません。

注記

FUTURE のシステム全体の暗号化ポリシーを使用すると、IdM サーバーをインストールできません。IdM サーバーをインストールする場合は、システム全体の暗号化ポリシー DEFAULT が使用されていることを確認してください。

FIPS コンプライアンス

RHEL 8.3.0 以降では、連邦情報処理規格 (FIPS) モードが有効になっているシステムに、新しい IdM サーバーまたはレプリカをインストールできます。

FIPS モードで IdM をインストールするには、ホストで FIPS モードを有効にしてから、IdM をインストールします。IdM インストールスクリプトは、FIPS が有効かどうかを検出し、IdM が FIPS 140-2 に準拠する暗号化タイプのみを使用するように設定します。

  • aes256-cts:normal
  • aes256-cts:special
  • aes128-cts:normal
  • aes128-cts:special
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special

IdM 環境が FIPS に準拠するには、すべて の IdM レプリカで FIPS モードが有効になっている必要があります。

特にクライアントを IdM レプリカにプロモートする場合、Red Hat ではIdM クライアントでも FIPS を有効にすることを推奨します。最終的には、管理者が FIPS 要件を満たす方法を判別する必要があります。Red Hat は FIPS 基準を強要しません。

FIPS モードが有効なフォレスト間の信頼のサポート

FIPS モードが有効な場合に Active Directory (AD) ドメインでフォレスト間の信頼を確立するには、以下の要件を満たす必要があります。

  • RHEL 8.4.0 以降の IdM サーバーを使用する。
  • 信頼の設定時に、AD 管理アカウントで認証する必要がある。FIPS モードが有効な場合には、共有シークレットを使用して信頼を確立することはできません。
重要

RADIUS 認証は FIPS に準拠していません。RADIUS プロトコルは MD5 ハッシュ機能を使用してクライアントとサーバー間のパスワードを暗号化し、FIPS モードでは、OpenSSL は MD5 ダイジェストアルゴリズムの使用を無効にするためです。ただし、RADIUS サーバーが IdM サーバーと同じホストで実行されている場合は、「How to configure FreeRADIUS authentication in FIPS mode」で説明されている手順を実行して、問題を回避してMD5 を有効にすることができます。

関連情報