第3章 認証および相互運用性
AD フォレストから連絡を受けるドメインを管理者がSSSD で選択できるようになりました
環境によっては、ジョインされた Active Directory (AD) フォレストないのドメインのサブセットしか到達できない場合があります。到達不能なドメインに連絡しようとすると、タイムアウトになったり、System Security Services Daemon (SSSD) がオフラインモードに切り替えられたりします。
これを回避するために、管理者が
/etc/sssd/sssd.conf/ ファイルの ad_enabled_domains オプションを設定することで、SSSD が接続するドメイン一覧を設定できるようになりました。詳細は、sssd-ad(5) man ページを参照してください。(BZ#1324428)
pam_sss から環境変数を受信しない PAM サービス一覧を SSSD で選択できるようになりました
場合によっては、
pam_sss Pluggable Authentication Module (PAM) が設定した環境変数を反映しない方が良いこともあります。たとえば sudo -i コマンドの使用時に、元のユーザーの KRB5CCNAME 変数をターゲット環境に送信したい場合などです。
これまでは、権限のないユーザーが
sudo -i コマンドを使用して別の権限のないユーザーになると、この新たな権限のないユーザーには、KRB5CCNAME がポイントする Kerberos 認証情報キャッシュを読み取るパーティションが与えられませんでした。
このユースケースにおいて、今回の更新では
pam_response_filter という新オプションが追加されました。pam_response_filter を使用すると、管理者はログイン中に KRB5CCNAME のような環境変数を受け取らない PAM サービス (例: sudo-i) を一覧表示できます。pam_response_filter が sudo-i を一覧表示することで、ユーザーはターゲット環境で KRB5CCNAME を設定せずにある権限のないユーザーか別の権限のないユーザーに切り替わることができます。(BZ#1329378)
IdM サーバーで TLS 1.2 以上を必須とするように設定できるようになりました
Transport Layer Security (TLS) プロトコルのバージョン 1.2 はこれまでのバージョンよりも大幅に安全であるとみなされています。今回の更新では、Identity Management (IdM) サーバーが
TLS の 1.2 未満のバージョンを使用た通信を禁止するように設定できるようになりました。
詳細については、以下の Red Hat のナレッジベースの記事を参照してください https://access.redhat.com/articles/2801181。 (BZ#1367026)
pam_faillock の設定で unlock_time=never が利用可能になりました
pam_faillock モジュールで unlock_time=never オプションを使用すると、複数回の認証失敗によるユーザー認証のロックが解除されないよう指定することができます。(BZ#1404832)
libkadm5* ライブラリーが libkadm5 パッケージに移動しました。
Red Hat Enterprise Linux 6.9 では、
libkadm5* ライブラリーが krb5-libs から libkadm5 パッケージに移動しました。そのため、yum は krb5-libs パッケージを自動的にダウングレードできません。ダウングレードする前に手作業で libkadm5 パッケージを削除してください。
# rpm -e --nodeps libkadm5
このパッケージを手作業で削除したら、
yum downgrade コマンドを使用して krb5-libs パッケージを前のバージョンにダウングレードします。(BZ#1351284)
