Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack 1 の新機能およびリリースノート適用対象 Reflection for Secure IT UNIX クライアントバージョン 7.2 SP1 Reflection for Secure IT UNIX サーババージョン 7.2 SP1 概要この技術ノートでは、Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack 1 (SP1) の新機能と SP1 で解決された問題、および SP1 に関するサービスパックの入手方法について記述しています。説明では特に、無償のバージョンアップ権利を有する保守契約ユーザ様を意識した内容となっています。サービスパック適用前の考慮点 * 本技術ノートでは、Reflection サービスパックについて説明しています。サービスパックは、適正なライセンスを受け、これらの製品を対象とした保守契約をされている Attachmate ユーザ様が利用可能です。 * Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 SP1 ではインストール用バイナリファイル単独でインストールが完結します。別途 7.2 を用意する必要はありません。 * ログインおよびダウンロードライブラリへのアクセスに関する情報は、技術ノート 0200 (英語のみ) を参照してください。 * Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 のリリース時点における機能一覧については、技術ノート 2519 (英語のみ) を参照してください。 * Reflection PKI サービスマネージャ 1.2 については、技術ノート 2564 (英語のみ) を参照してください。 7.2 SP1 の新機能 7.2 SP1 の以下の機能は、UNIX クライアントおよびサーバの両方で利用できます。 * このサービスパック以降の Linux インストーラでは、将来のバージョンをインストールするための rpm [-U|--upgrade] オプションを使用できるようになります。注意：この変更は、将来のアップグレードにのみ影響します。rpm -U を使用してこのサービスパックをインストールすることはできません。 * サーバおよびクライアントが SFTP バージョン 4 に対応するようになりました。この変更により、 UTF-8 文字を使用できるようになりました。 - クライアントの新しいキーワード SFTPVersion を使用して、使用するバージョンを構成することができます。有効な値は 3 および 4 です。これを 4 (既定値) に設定すると、サーバが SFTP バージョン 4 に対応している場合には接続でバージョン 4 が使用され、対応していない場合にはその下のバージョン 3 が使用されます。設定が 3 の場合、クライアントでは常に SFTP バージョン 3 が使用されます。 - サーバでは SFTP バージョン 4 が既定として設定されますが、クライアントがバージョン 4 に対応していない場合はその下のバージョン 3 が使用されます。 * ssh-certtool ユーティリティで、SubjectAltName 拡張の UPN 値および IP 値を指定できるようになりました。 * ssh-certtool ユーティリティで、鍵長 (2048) とアルゴリズム (RSA) の両方の値がコマンドラインで指定されていない場合、これらの既定値を使用して PKCS10 証明書署名要求が作成されるようになりました。 * ssh-certtool および ssh-keygen ユーティリティでは、FIPS モードオプション (-f) を使用できるようになりました。このオプションを使用すると、生成されたすべての鍵が強制的に FIPS 基準を満たすようになります。さらに、ssh-certtool でこのオプションを使用すると、FIPS 基準を満たす鍵をすべての PKCS#10 要求に含めることができます。 Reflection for Secure IT UNIX サーバの新機能 * sftp または scp を使用してサーバにアップロードしたファイルの権限を、サーバのキーワード ForceSftpFilePermissions を使用して構成できるようになりました。このキーワードは、サーバにアップロードされたすべてのファイルに指定のファイル権限を設定します。この権限設定は、その他すべての権限設定処理に優先します。このキーワードには 3 桁の権限モード値を使用します。例えば ForceSftpFilePermissions を 600 に設定した場合は、アップロードされたすべてのファイルに 600 (-rw-------) が設定されます。さらに、クライアントのユーザが既存ファイルの権限を変更しようとした場合、ユーザが要求する権限値に関係なく、そのファイルは 600 に設定されます。この設定は、ディレクトリ権限には影響しません。 7.2 SP1 で解決された問題 7.2 SP1 で解決された問題は、以下のとおりです。解決されたクライアントの問題 * ユーザはクリップボードのデータをセッションに貼り付けることができます。 * scp を使用して従来の Reflection for Secure IT UNIX サーバにファイルを転送する際、「(2) Protocol error: packet too long: 35044」 ((2) プロトコルエラー: パケットが長すぎます: 35044) というエラーメッセージが表示されて転送に失敗することがなくなりました。 * SFTP のルートディレクトリを変更したユーザは、HP-UX 11.31 システムにログインできます。 * SSH 接続でローカルポート転送コマンドを使用した場合、「ssh2: shutdown() failed」 (ssh2: shutdown() が失敗しました) というエラーは HP-UX 11.31 の syslog に記録されません。 * Tivoli Storage Manager の「dsmc」リモートコマンドを使用している場合、認識されない出力は記録されません。 * Reflection for Secure IT Windows サーバに接続したときに sftp ロングリストコマンド (ls –l) を使用すると、ファイルのタイムスタンプが正しく表示されます。 * 認証処理時にパスワードを変更した場合、「PAM failure」 (PAM の失敗) というメッセージは表示されません。 * ハイパフォーマンスネットワーキング (HPN) のどのようなネットワーク状態でパフォーマンスが向上するかを記述したマニュアルが追加されました。 * ホスト鍵の従来の名前付け形式 <鍵_ポート_ホスト名>.pub を使用できるようになりました。 * StrictModes キーワードが「no」に設定されている場合、NFS ホームディレクトリの制限が少ないユーザは認証に成功します。 * HP-UX のブートおよびシャットダウンのスクリプトが修正されました。 * glob 構文式が含まれる scp コマンドに対応するようになりました。解決されたサーバの問題 * HostSpecificConfig を使用した場合、サーバ構成ファイル内のすべてのキーワードに既定値以外の値が適用されます。 * 期限切れパスワードを変更する際に、「who: memory exhausted」 (ユーザ名: メモリがすべて使用されています) というメッセージが表示されなくなりました。 * ログファイル内の「wixbld」への参照が削除されました。 * HostSpecificConfig エラーに対する一般的なメッセージが、キーワード固有の参照に変更されました。 * 公開鍵の認証に失敗した場合、公開鍵の試行の失敗ではなく失敗したログインエントリだけが /etc/security/failedlogin に書き込まれます。 * TCP Wrapper も構成している場合、サーバのキーワード SyslogFacility への設定値は適切に使用されます。 * Linux でサーバをアップグレードしても、sftp-server シンボリックリンクのエラーメッセージが表示されなくなりました。 * Pluggable Authentication Module (PAM) LDAP が SSL 対応の LDAP サーバに対応するようになりました。セキュリティ更新 * CVE-2009-2408 に記述されているセキュリティの脆弱性に対する対策 ssh-certtool ユーティリティを使用して証明書署名要求 (PKCS#10) を生成した場合、CN= および AltSubjName 文字列への入力の不要部分が削除されるため、カミンスキー型 PKI レイヤケーキ攻撃を回避できます。 Reflection for Secure IT に影響を及ぼす可能性のあるセキュリティの警告およびアドバイザリの最新情報については、技術ノート 2288 (英語のみ) を参照してください。サービスパックの入手方法登録されているお客様は、Attachmate Download Library の以下の Web サイトから、最新の製品リリースをダウンロードすることができます。 https://download.attachmate.jp/Login.aspx ログインおよびダウンロードライブラリへのアクセスに関する情報は、技術ノート 0200 (英語のみ) を参照してください。注意： Internet Explorer を使用して Sun Solaris、HP-UX、または IBM AIX パッケージをダウンロードすると、大文字の拡張子 (.Z) が小文字 (.z) に変更されます。大文字の Z を使用するには、ファイルを解凍する前にそのファイル名を変更する必要があります。サービスパックのインストールプログラムを入手しアップデートをする前に、/etc/ssh2 ディレクトリ (構成ファイルとホスト鍵が格納されている) のバックアップをとります。その後、現行バージョンをアンインストールしてから、7.2 SP1 をインストールします。インストールおよびアンインストールの詳細手順については、ユーザガイド (http://support.attachmate.com/manuals/rsit_unix.html) を参照してください。既存の Secure Shell プログラムを置き換える方法 (バックアップファイルを使って既定以外の設定を新しい構成ファイルに結合する操作を含む) の詳細は、技術ノート 2282 (英語のみ) またはユーザガイドのヘルプトピック「既存の Secure Shell プログラムの置き換え」 (http://support.attachmate.com/manuals/rsit_unix.html から入手可能) を参照してください。対応プラットフォームこの製品では、HP-UX 11i v1 (11.11) PARISC プラットフォームに再度対応します。対応プラットフォームについての詳細は、技術ノート 1944 (英語のみ) を参照してください。注意：英語版の技術ノート (http://support.attachmate.com/techdocs/2565.html) では情報が更新されている場合があります。