4.13. ID 管理
Identity Management をより包括的に
Red Hat では、意識的な言語の使用に取り組んでいます。
Identity Management では、次のような用語の置き換えが計画されています。
- ブラックリスト から ブロックリスト
- ホワイトリスト から 許可リスト
- スレーブからセカンダリー
単語 マスター は、コンテキストに応じて、より正確な言語に置き換えられます。
- マスターからIdM サーバー
- CA 更新マスター から CA 更新サーバー
- CRL マスター から CRL パブリッシャーサーバー
- マルチマスターからマルチサプライヤー
(JIRA:RHELPLAN-73418)
dsidm ユーティリティーがエントリーの名前変更および移動に対応
今回の機能拡張により、dsidm ユーティリティーを使用して、Directory Server でユーザー、グループ、POSIX グループ、ロール、および組織単位 (OU) の名前を変更して移動できるようになりました。詳細と例は、Directory Server 管理ガイドの ユーザー、グループ、POSIX グループ、および OU の名前変更 を参照してください。
IdM でのサブ CA の削除
今回の機能拡張により、ipa ca-del コマンドを実行して Sub-CA を無効にしていない場合は、サブ CA を削除できないので無効にする必要があるとのエラーが表示されます。最初に ipa ca-disable コマンドを実行してサブ CA を無効にしてから、ipa ca-del コマンドを使用してこれを削除します。
IdM CA を無効化または削除できない点に留意してください。
(JIRA:RHELPLAN-63081)
IdM が新しい Ansible 管理ロールおよびモジュールに対応
RHEL 8.4 は、Identity Management(IdM) でロールベースのアクセス制御 (RBAC) を自動的に管理する Ansible モジュール、IdM サーバーのバックアップおよび復元用の Ansible ロール、およびロケーション管理用の Ansible モジュールを提供します。
-
ipapermissionモジュールを使用して、IdM RBAC でパーミッションおよびパーミッションメンバーを作成、変更、および削除することができます。 -
ipaprivilegeモジュールを使用して、IdM RBAC で特権および権限メンバーを作成、変更、および削除できます。 -
iparoleモジュールを使用して、IdM RBAC でロールおよびロールメンバーを作成、変更、および削除できます。 -
ipadelegationモジュールを使用して、IdM RBAC のユーザーに対するパーミッションを委譲できます。 -
ipaselfserviceモジュールを使用して、IdM でセルフサービスアクセスルールを作成、変更、および削除できます。 -
ipabackupロールを使用して、IdM サーバーのバックアップを作成し、コピーし、IdM サーバーをローカルまたはコントロールノードから復元できます。 -
ipalocationモジュールを使用して、データセンターラックなど、ホストの物理的な場所の有無を確認できます。
(JIRA:RHELPLAN-72660)
FIPS モードの IdM が、AD を使用したフォレスト間の信頼に対応
この機能強化により、管理者は FIPS モードが有効な IdM ドメインと Active Directory (AD) ドメインの間でフォレスト間の信頼を確立できるようになりました。IdM で FIPS モードが有効な場合に、共有シークレットを使用して信頼を確立できないことに注意してください。FIPS コンプライアンス を参照してください。
(JIRA:RHELPLAN-58629)
AD ユーザーは、既知の UPN 接尾辞に属する UPN 接尾辞が付いた IdM にログイン可能に
以前では、Active Directory (AD) ユーザーは、既知の UPN 接尾辞 (例: ad-example.com) のサブドメインである UPN (Universal Principal Name) (sub1.ad-example.com) で、IdM (Identity Management) にログインできませんでした。これは、内部 Samba プロセスがトポロジー名 (TLN) の重複としてサブドメインをフィルタリングしていたためです。今回の更新により、既知の UPN 接尾辞に属するかどうかをテストして UPN が検証されるようになりました。これにより、上記のシナリオで下位の UPN 接尾辞を使用してログインできるようになりました。
IdM は新しいパスワードポリシーオプションをサポートするように
今回の更新で、Identity Management(IdM) が追加の libpwquality ライブラリーオプションに対応するようになりました。
--maxrepeat- 同じ文字の最大数を連続して指定します。
--maxsequence- 単調な文字シーケンスの最大長を指定します (abcd)。
--dictcheck- パスワードが辞書の単語であるかどうかを確認します。
--usercheck- パスワードにユーザー名が含まれるかどうかを確認します。
新しいパスワードポリシーオプションのいずれかが設定されている場合、--minlength オプションの値に関係なく、パスワードの最小長は 6 文字になります。新しいパスワードポリシー設定は、新しいパスワードにのみ適用されます。
RHEL 7 サーバーと RHEL 8 サーバーが混在する環境では、新しいパスワードポリシー設定は、RHEL 8.4 以降で実行されているサーバーのみに適用されます。ユーザーが IdM クライアントにログインし、IdM クライアントが RHEL 8.3 以前で実行している IdM サーバーと通信している場合は、システム管理者が設定した新しいパスワードポリシーの要件は適用されません。一貫した動作を確認するには、すべてのサーバーを RHEL 8.4 以降にアップグレードまたは更新します。
Active Directory のサイト検出プロセスの改善
SSSD サービスは、接続レス LDAP (CLDAP) と複数のドメインコントローラーで並行して Active Directory サイトを検出し、一部のドメインコントローラーに到達できない状況でサイト検出を加速します。以前のバージョンでは、サイト検出が順次実行され、ドメインコントローラーに到達できない場合、タイムアウトが発生し、SSSD がオフラインになっていました。
スループットを向上させるために、nsslapd-nagle のデフォルト値がオフになっている
以前は、cn=config エントリーの nsslapd-nagle パラメーターがデフォルトで有効になっていました。その結果、Directory Server は多数の setsocketopt システムコールを実行し、サーバーの速度を低下させていました。今回の更新により、nsslapd-nagle のデフォルト値が off に変更になりました。その結果、Directory Server が実行する setsocketopt システムコールの数が減り、1 秒あたりにより多くの操作を処理できるようになります。
(BZ#1996076)
sssd.conf ファイルの [domain] セクションで SSSD ドメインを有効または無効にする
今回の更新で、sssd.conf ファイルの該当する [domain] セクションを変更することで、SSSD ドメインを有効または無効にすることができるようになりました。
以前は、SSSD 設定にスタンドアロンドメインが含まれている場合、sssd.conf ファイルの [sssd] セクションの domains オプションを変更する必要がありました。今回の更新で、ドメイン設定の enabled= オプションを true または false に設定できるようになりました。
-
enabledオプションを true に設定すると、sssd.confファイルの[sssd]セクションのdomainsオプションの下に記載されていない場合でも、ドメインが有効になります。 -
enabledオプションを false に設定すると、sssd.confファイルの[sssd]セクションのdomainsオプションの下に記載されていない場合でも、ドメインが有効になります。 -
enabledなオプションが設定されていないと、sssd.confの[sssd]セクションのdomainsオプションの設定が使用されます。
最大オフラインタイムアウトを手動で制御するオプションが追加されました。
offline_timeout の期間は、SSSD によるオンラインに戻るまでの再試行の間隔を決定します。以前のバージョンでは、この間隔の最大許容値は 3600 秒にハードコーディングされていました。これは一般的な用途に適していますが、環境を高速または遅らば問題が発生していました。
今回の更新で、offline_timeout_max オプションが各間隔の最大長さを手動で制御できるようになりました。これにより、SSSD でのサーバー動作を追跡できるようになりました。
この値は、offline_timeout パラメーターの値に相関して設定する必要があることに注意してください。値が 0 の場合は、インクリメント動作が無効になります。
SSSD セッションの録画設定で、scope=all が設定された exclude_users および exclude_groups のサポート
Red Hat Enterprise 8.4 では、グループまたはユーザーのセッションの録画を定義する新しい SSSD オプションを利用できるようになりました。
exclude_users録画から除外されるユーザーのコンマ区切りリスト。
scope=all設定オプションと併用する場合にのみ適用されます。exclude_groups録画から除外されるメンバーであるグループのコンマ区切りリスト。
scope=all設定オプションにのみ適用されます。
詳細は、man ページの sssd-session-recording を参照してください。
samba がバージョン 4.13.2 にリベースされました。
samba パッケージがアップストリームバージョン 4.13.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
-
認証されていないユーザーが
netlogonプロトコルを使用してドメインを引き継ぐセキュリティーの問題を回避するには、Samba サーバーがserver schannelパラメーターのデフォルト値 (yes) を使用することを確認してください。testparm -v | grep 'server schannel'コマンドを使用して確認します。詳細は CVE-2020-1472 を参照してください。 - Samba "wide links" 機能が VFS モジュールに変換されました。
- Samba を PDC または BDC として実行することは非推奨になりました。
FIPS モードが有効な RHEL で Samba を使用できるようになりました。FIPS モードの制限により、以下を行います。
- RC4 暗号化がブロックされているため、NT LAN Manager (NTLM) 認証は使用できません。
- デフォルトでは、Samba クライアントユーティリティーは AES 暗号による Kerberos 認証を使用します。
- Samba は、AES 暗号化を使用する Kerberos 認証を使用する Active Directory (AD) または Red Hat Identity Management (IdM) 環境でのみ、ドメインメンバーとして使用できます。Red Hat は、IdM がバックグラウンドで使用するプライマリードメインコントローラー (PDC) 機能のサポートを継続することに留意してください。
サーバーメッセージブロックバージョン 1 (SMB1) プロトコルでのみ使用できるセキュアでない認証方法に対する以下のパラメーターが非推奨になりました。
-
client plaintext auth -
client NTLMv2 auth -
client lanman auth -
client use spnego
-
- Samba で使用すると、GlusterFS の write-behind パフォーマンス変換の問題が修正され、データ破損を回避できるようになりました。
- ランタイムの最小サポートが Python 3.6 になりました。
-
非推奨の
ldap ssl adsパラメーターが削除されました。
smbd、nmbd、または winbind サービスが起動すると、Samba は tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。
主な変更の詳細は、更新前に アップストリームのリリースノート を参照してください。
SSSD を使用したパスワードなしの sudo 認証用の新しい GSSAPI PAM モジュール
新しい pam_sss_gss.so Pluggable Authentication Module (PAM) を使用して、System Security Services Daemon (SSSD) を設定して、Generic Security Service Application Programming Interface (GSSAPI) で PAM 対応サービスに対してユーザーを認証できます。
たとえば、このモジュールを、Kerberos チケットを使用したパスワードなしの sudo 認証に使用できます。IdM 環境の追加のセキュリティーのために、スマートカードやワンタイムパスワードで認証したユーザーなど、チケットで特定の認証インジケーターを持つユーザーにのみアクセスを付与するように SSSD を設定できます。
詳細は IdM クライアントでの IdM ユーザーへの sudo アクセスの付与 を参照してください。
Directory Server がバージョン 1.4.3.16 にリベースされました。
389-ds-base パッケージがアップストリームバージョン 1.4.3.16 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点のリストは、更新前にアップストリームのリリースノートを参照してください。
- https://www.port389.org/docs/389ds/releases/release-1-4-3-16.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-15.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-14.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-13.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-12.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-11.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-10.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-9.html
Directory Server が RESULT エントリーで作業および操作時間のログを記録するようになりました。
今回の更新で、Directory Server は、/var/log/dirsrv/slapd-<instance_name>/access ファイルの RESULT エントリーに追加の時間値をログ記録するようになりました。
-
wtimeの値は、操作が作業キューからワーカースレッドに移動するのにかかった時間を示します。 -
optimeの値は、ワーカースレッドが操作を開始した後に実際に操作が完了するのにかかった時間を示します。
新たに追加されたこの値で、Directory Server が読み込みやプロセス操作を処理する方法などの情報が追加で提供されます。
詳細は、Red Hat Directory Server の設定、コマンド、およびファイルリファレンスの アクセスログリファレンス を参照してください。
Directory Server が、インデックス化されていない内部検索を拒否するようになりました。
今回の機能拡張により、nsslapd-require-internalop-index パラメーターが cn=<database_name>,cn=ldbm データベース,cn=plugins,cn=config エントリーに追加されました。プラグインがデータを変更すると、データベースに書き込みロックがあります。大規模なデータベースで、プラグインがインデックス化されていない検索を実行すると、プラグインがすべてのデータベースロックを使用することがあります。これにより、データベースが破損したり、サーバーが応答しなくなります。この問題を回避するには、nsslapd-require-internalop-index パラメーターを有効にして、インデックス化されていない内部検索を拒否することができるようになりました。
