Reflection for Secure IT UNIX Client and Server 7

Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack
1 の新機能およびリリースノート
適用対象
Reflection for Secure IT UNIX クライアントバージョン 7.2 SP1
Reflection for Secure IT UNIX サーババージョン 7.2 SP1
概要
この技術ノートでは、Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack 1 (SP1)
の新機能と SP1 で解決された問題、および SP1 に関するサービスパックの入手方法について記述して
います。説明では特に、無償のバージョンアップ権利を有する保守契約ユーザ様を意識した内容となっ
ています。
サービスパック適用前の考慮点
*
本技術ノートでは、Reflection サービスパックについて説明しています。サービスパックは、適正
なライセンスを受け、これらの製品を対象とした保守契約をされている Attachmate ユーザ様が
利用可能です。
*
Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 SP1 ではインストール用バイナリ
ファイル単独でインストールが完結します。別途 7.2 を用意する必要はありません。
*
ログインおよびダウンロードライブラリへのアクセスに関する情報は、技術ノート 0200 (英語の
み) を参照してください。
*
Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 のリリース時点における機能一覧
については、技術ノート 2519 (英語のみ) を参照してください。
*
Reflection PKI サービスマネージャ 1.2 については、技術ノート 2564 (英語のみ) を参照してくだ
さい。
7.2 SP1 の新機能
7.2 SP1 の以下の機能は、UNIX クライアントおよびサーバの両方で利用できます。
*
このサービスパック以降の Linux インストーラでは、将来のバージョンをインストールするための
rpm [-U|--upgrade] オプションを使用できるようになります。注意: この変更は、将来のアップグ
レードにのみ影響します。rpm -U を使用してこのサービスパックをインストールすることはでき
ません。
*
サーバおよびクライアントが SFTP バージョン 4 に対応するようになりました。この変更により、
UTF-8 文字を使用できるようになりました。
-
クライアントの新しいキーワード SFTPVersion を使用して、使用するバージョンを構成する
ことができます。有効な値は 3 および 4 です。これを 4 (既定値) に設定すると、サーバが
SFTP バージョン 4 に対応している場合には接続でバージョン 4 が使用され、対応していな
い場合にはその下のバージョン 3 が使用されます。設定が 3 の場合、クライアントでは常
に SFTP バージョン 3 が使用されます。
-
サーバでは SFTP バージョン 4 が既定として設定されますが、クライアントがバージョン 4
に対応していない場合はその下のバージョン 3 が使用されます。
*
ssh-certtool ユーティリティで、SubjectAltName 拡張の UPN 値および IP 値を指定できるように
なりました。
*
ssh-certtool ユーティリティで、鍵長 (2048) とアルゴリズム (RSA) の両方の値がコマンドライン
で指定されていない場合、これらの既定値を使用して PKCS10 証明書署名要求が作成される
ようになりました。
*
ssh-certtool および ssh-keygen ユーティリティでは、FIPS モードオプション (-f) を使用できるよ
うになりました。このオプションを使用すると、生成されたすべての鍵が強制的に FIPS 基準を
満たすようになります。さらに、ssh-certtool でこのオプションを使用すると、FIPS 基準を満たす
鍵をすべての PKCS#10 要求に含めることができます。
Reflection for Secure IT UNIX サーバの新機能
*
sftp または scp を使用してサーバにアップロードしたファイルの権限を、サーバのキーワード
ForceSftpFilePermissions を使用して構成できるようになりました。このキーワードは、サーバに
アップロードされたすべてのファイルに指定のファイル権限を設定します。この権限設定は、そ
の他すべての権限設定処理に優先します。このキーワードには 3 桁の権限モード値を使用しま
す。例えば ForceSftpFilePermissions を 600 に設定した場合は、アップロードされたすべてのフ
ァイルに 600 (-rw-------) が設定されます。さらに、クライアントのユーザが既存ファイルの権
限を変更しようとした場合、ユーザが要求する権限値に関係なく、そのファイルは 600 に設定さ
れます。この設定は、ディレクトリ権限には影響しません。
7.2 SP1 で解決された問題
7.2 SP1 で解決された問題は、以下のとおりです。
解決されたクライアントの問題
*
ユーザはクリップボードのデータをセッションに貼り付けることができます。
*
scp を使用して従来の Reflection for Secure IT UNIX サーバにファイルを転送する際、「(2)
Protocol error: packet too long: 35044」 ((2) プロトコルエラー: パケットが長すぎます: 35044) と
いうエラーメッセージが表示されて転送に失敗することがなくなりました。
*
SFTP のルートディレクトリを変更したユーザは、HP-UX 11.31 システムにログインできます。
*
SSH 接続でローカルポート転送コマンドを使用した場合、「ssh2: shutdown() failed」 (ssh2:
shutdown() が失敗しました) というエラーは HP-UX 11.31 の syslog に記録されません。
*
Tivoli Storage Manager の「dsmc」リモートコマンドを使用している場合、認識されない出力は記
録されません。
*
Reflection for Secure IT Windows サーバに接続したときに sftp ロングリストコマンド (ls –l) を
使用すると、ファイルのタイムスタンプが正しく表示されます。
*
認証処理時にパスワードを変更した場合、「PAM failure」 (PAM の失敗) というメッセージは表
示されません。
*
ハイパフォーマンスネットワーキング (HPN) のどのようなネットワーク状態でパフォーマンスが
向上するかを記述したマニュアルが追加されました。
*
ホスト鍵の従来の名前付け形式 <鍵_ポート_ホスト名>.pub を使用できるようになりました。
*
StrictModes キーワードが「no」に設定されている場合、NFS ホームディレクトリの制限が少ない
ユーザは認証に成功します。
*
HP-UX のブートおよびシャットダウンのスクリプトが修正されました。
*
glob 構文式が含まれる scp コマンドに対応するようになりました。
解決されたサーバの問題
*
HostSpecificConfig を使用した場合、サーバ構成ファイル内のすべてのキーワードに既定値以
外の値が適用されます。
*
期限切れパスワードを変更する際に、「who: memory exhausted」 (ユーザ名: メモリがすべて使
用されています) というメッセージが表示されなくなりました。
*
ログファイル内の「wixbld」への参照が削除されました。
*
HostSpecificConfig エラーに対する一般的なメッセージが、キーワード固有の参照に変更されま
した。
*
公開鍵の認証に失敗した場合、公開鍵の試行の失敗ではなく失敗したログインエントリだけが
/etc/security/failedlogin に書き込まれます。
*
TCP Wrapper も構成している場合、サーバのキーワード SyslogFacility への設定値は適切に使
用されます。
*
Linux でサーバをアップグレードしても、sftp-server シンボリックリンクのエラーメッセージが表
示されなくなりました。
*
Pluggable Authentication Module (PAM) LDAP が SSL 対応の LDAP サーバに対応するように
なりました。
セキュリティ更新
*
CVE-2009-2408 に記述されているセキュリティの脆弱性に対する対策 ssh-certtool ユーティリ
ティを使用して証明書署名要求 (PKCS#10) を生成した場合、CN= および AltSubjName 文字列
への入力の不要部分が削除されるため、カミンスキー型 PKI レイヤケーキ攻撃を回避できます。
Reflection for Secure IT に影響を及ぼす可能性のあるセキュリティの警告およびアドバイザリの最新情
報については、技術ノート 2288 (英語のみ) を参照してください。
サービスパックの入手方法
登録されているお客様は、Attachmate Download Library の以下の Web サイトから、最新の製品リリー
スをダウンロードすることができます。
https://download.attachmate.jp/Login.aspx
ログインおよびダウンロードライブラリへのアクセスに関する情報は、技術ノート 0200 (英語のみ) を参
照してください。
注意: Internet Explorer を使用して Sun Solaris、HP-UX、または IBM AIX パッケージをダウンロードす
ると、大文字の拡張子 (.Z) が小文字 (.z) に変更されます。大文字の Z を使用するには、ファイルを解凍
する前にそのファイル名を変更する必要があります。
サービスパックのインストール
プログラムを入手しアップデートをする前に、/etc/ssh2 ディレクトリ (構成ファイルとホスト鍵が格納され
ている) のバックアップをとります。その後、現行バージョンをアンインストールしてから、7.2 SP1 をインス
トールします。インストールおよびアンインストールの詳細手順については、ユーザガイド
(http://support.attachmate.com/manuals/rsit_unix.html) を参照してください。
既存の Secure Shell プログラムを置き換える方法 (バックアップファイルを使って既定以外の設定を新し
い構成ファイルに結合する操作を含む) の詳細は、技術ノート 2282 (英語のみ) またはユーザガイドのヘ
ルプトピック「既存の Secure Shell プログラムの置き換え」
(http://support.attachmate.com/manuals/rsit_unix.html から入手可能) を参照してください。
対応プラットフォーム
この製品では、HP-UX 11i v1 (11.11) PARISC プラットフォームに再度対応します。対応プラットフォーム
についての詳細は、技術ノート 1944 (英語のみ) を参照してください。
注意: 英語版の技術ノート (http://support.attachmate.com/techdocs/2565.html) では情報が更新され
ている場合があります。