Red Hat Training

A Red Hat training course is available for RHEL 8

2.3. IdM のカスタム設定要件

DNS、Kerberos、Apache、Directory Server などのサービスのカスタム設定を行わずに、クリーンなシステムに Identity Managementt (IdM) をインストールします。

IdM サーバーのインストールは、システムファイルを上書きして、IdM ドメインを設定します。IdM は、元のシステムファイルを /var/lib/ipa/sysrestore/ にバックアップします。ライフサイクルの最後に Identity Management サーバーをアンインストールすると、このファイルが復元します。

IdM における IPv6 要件

IdM システムでは、カーネルで IPv6 プロトコルが有効になっている必要があり、localhost (::1) はそれを使用できます。IPv6 が無効になっていると、IdM サービスが使用する CLDAP プラグインが初期化に失敗します。

注記

ネットワーク上で IPv6 を有効にする必要はありません。必要に応じて、IPv6 アドレスを有効にせずに IPv6 スタックを有効にすることができます。

IdM における暗号化タイプのサポート

Red Hat Enterprise Linux (RHEL) は、Advanced Encryption Standard (AES)、Camel、Data Encryption Standard (DES) などの暗号化タイプをサポートする Kerberos プロトコルのバージョン 5 を使用します。

サポート対象の暗号化タイプのリスト

IdM サーバーおよびクライアントの Kerberos ライブラリーは、より多くの暗号化タイプに対応している可能性がありますが、IdM Kerberos Distribution Center (KDC) は以下の暗号化タイプのみに対応します。

  • aes256-cts:normal
  • aes256-cts:special (デフォルト)
  • aes128-cts:normal
  • aes128-cts:special (デフォルト)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

RC4 暗号化タイプがデフォルトで無効

以下の RC4 暗号化は、新しい暗号化タイプ AES-128 および AES-256 よりも安全ではないと見なされるため、RHEL 8 では非推奨となり、デフォルトで無効にされています。

  • arcfour-hmac:normal
  • arcfour-hmac:special

以前の Active Directory 環境と互換性を確保するために RC4 サポートを手動で有効にする方法は、AD および RHEL で一般的な暗号化タイプに対応 を参照してください。

DES および 3DES 暗号化のサポートが削除される

セキュリティー上の理由から、DES アルゴリズムへの対応は RHEL 7 では非推奨となりました。RHEL 8.3.0 で最近、Kerberos パッケージがリベースされ、RHEL 8 からシングル DES (DES) およびトリプル DES (3DES) 暗号化タイプのサポートが削除されました。

注記

標準の RHEL 8 IdM インストールでは、DES または 3DES 暗号化タイプはデフォルトでは使用されず、Kerberos のアップグレードによる影響はありません。

DES や 3DES 暗号化 のみ を使用するようにサービスまたはユーザーを手動で設定すると (レガシークライアントなど)、最新の Kerberos パッケージに更新した後にサービスが中断される可能性があります。

  • Kerberos 認証エラー
  • unknown enctype 暗号化エラー
  • DES で暗号化されたデータベースマスターキー (K/M) を使用する KDC が起動に失敗する

Red Hat では、お使いの環境で DES または 3DES 暗号化を使用しないことを推奨します。

注記

DES および 3DES 暗号化タイプは、ご利用環境で使用するように設定している場合に限り無効にする必要があります。

IdM でのシステム全体の暗号化ポリシーへの対応

IdM は、DEFAULT システム全体の暗号化ポリシーを使用します。このポリシーは、現在の脅威モデルに安全な設定を提供します。TLS プロトコルの 1.2 と 1.3、IKEv2 プロトコル、および SSH2 プロトコルが使用できます。RSA 鍵と Diffie-Hellman パラメーターは長さが 2048 ビット以上であれば許容されます。このポリシーでは、DES、3DES、RC4、DSA、TLS v1.0、およびその他の弱いアルゴリズムを使用できません。

注記

FUTURE システム全体の暗号化ポリシーの使用中は、IdM サーバーをインストールできません。IdM サーバーをインストールする場合は、DEFAULT システム全体の暗号化ポリシーを使用していることを確認してください。