Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第5章 認証と相互運用性

SSH キーの中央管理サポート

これまでは、ホストとユーザーの SSH パブリックキーを中央で管理することは無理でした。Red Hat Enterprise Linux 6.3 には、技術プレビューとして識別管理サーバーの為の SSH パブリックキー管理が含まれています。そのため、識別管理クライアント上の OpenSSH は識別管理サーバー上に格納されているパブリックキーを使用するように自動的に設定されます。SSH ホストとユーザーの識別は今回、識別管理に於いて中央で管理できるようになっています。BZ#803822n

SELinux ユーザーマッピング

Red Hat Enterprise Linux 6.3 では、リモートシステム上でのユーザーの SELinux コンテキストを制御する能力を導入しています。SELinux のユーザーマップルールは定義付けが可能であり、オプションとして HBAC ルールとの関連付けができます。これらのマップは、ログインするホストとグループメンバーシップに応じてユーザーが受信するコンテキストを定義します。識別管理バックエンドと一緒に SSSD を使用するように設定されているリモートホストにユーザーがログインする際には、ユーザーの SELinux コンテキストはそのユーザー用に定義されたマッピングルールに応じて自動的にセットされます。詳細情報については、http://freeipa.org/page/SELinux_user_mapping を参照して下さい。この機能は技術プレビューと見なされています。BZ#803821

sshd の認証に必要となる複数のメソッド

今回、SSH は認証について複数の方法を要求するように設定できます (以前は、SSH が認証で複数の方法を許可しても、その1つのみが正しいログインに必要でした)。例えば、SSH を設定したマシンへのログインにはパスフレーズとパブリックキーの両方の入力が必要になります。RequiredAuthentications1 オプションと RequiredAuthentications2 オプションを /etc/ssh/sshd_config ファイル内で設定して正しいログインに必要となる認証を決定することができます。例えば、次のようにします:

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
前述の /etc/ssh/sshd_config のオプションに関する詳細については、sshd_config man ページを参照して下さい。BZ#657378
自動マウントマップキャッシングの SSSD サポート

Red Hat Enterprise Linux 6.3 では、SSSD は、自動マウントマップのキャッシングに対するサポートと言う技術プレビュー機能を持っています。この機能により、autofs で運用する環境にいくつかの利便性をもたらします:

  • キャッシュ化した自動マウントマップにより、クライアントマシンは LDAP サーバーに到達できない時でさえもマウント操作を簡単に実行できるようになります。
  • autofs デーモンが SSSD を介して自動マウントマップをルックアップするように設定されている時には、単独のファイル: /etc/sssd/sssd.conf のみを設定するだけで充分です。以前は、autofs データを取り込むように /etc/sysconfig/autofs を設定する必要がありました。
  • 自動マウントマップをキャッシュ化すると、クライアントではパフォーマンスの速度が向上し、LDAP サーバーではトラフィックが低減します。BZ#761570
SSSD debug_level の動作の変化

SSSD は、/etc/sssd/sssd.conf ファイル内での debug_level オプションの動作に変化を与えています。以前は、[sssd] 設定セクションで debug_level オプションをセットすることができて、他の設定セクションが明示的に上書きしない限りはこれが他の設定セクションのデフォルトのセッティングになると言う結果になっていました。

今回、[sssd] セクションからデフォルトを取得する代わりに、内部デバグロギング機能へのいくつかの変更によって、debug_level オプションは常に設定ファイルの各セクションで独立して指定することが必要になりました。
その結果、SSSD の最新バージョンへ更新した後には、同じレベルでデバグロギングを受信し続けるためにユーザーはその個人設定を更新する必要があるかも知れません。マシン単位で SSSD を設定するユーザーは、互換性のある方法でその既存設定を更新する簡単な Python ユーティリティを使用することができます。これは、以下のコマンドを root として実行すると達成できます:
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
このユーティリティは以下のような変更を設定ファイルに与えます: debug_level オプションが [sssd] セクションで指定されたかどうかの確認チェックをします。指定されていると、debug_level が指定されていない sssd.conf ファイル内の他の各セクションに同じレベルの値を追加します。別のセクションに debug_level オプションが既に明示的に存在する場合は、変更は起こりません。
中央設定管理ツールに依存しているユーザーは適切なツールでこれらと同じ変更を手動で行う必要があります。BZ#753763
新しい ldap_chpass_update_last_change オプション

ldap_chpass_update_last_change と言う新しいオプションが SSSD 設定に追加されています。このオプションが有効になっている場合、SSSD は shadowLastChange LDAP 属性を現在の時刻に変更する試みをします。これは、LDAP パスワードポリシーが使用された時のケース、即ちパスワードを変更するために LDAP 拡張操作が使用されるケースにのみ関連していることに注意して下さい (通常は LDAP サーバーが処理)。また、この属性はパスワードを変更しているユーザーによって書き込まれる必要があることにも注意して下さい。BZ#739312