4.14. Identity Management
すべての依存関係を持つ AppStream リポジトリーで ansible-freeipa が利用できるようになる
以前の RHEL 8 では、ansible-freeipa パッケージをインストールする前に、まず Ansible リポジトリーを有効にして ansible パッケージをインストールする必要がありました。RHEL 8.6 および RHEL 9 では、準備手順なしで ansible-freeipa をインストールできます。ansible-freeipa をインストールすると、依存関係として、ansible のより基本的なバージョンである ansible-core パッケージが自動的にインストールされます。ansible-freeipa と ansible-core の両方が、rhel-9-for-x86_64-appstream-rpms リポジトリーで利用できます。
RHEL 8.6 および RHEL 9 の ansible-freeipa には、RHEL 8 で含まれていたモジュールがすべて含まれています。
(JIRA:RHELPLAN-100359)
IdM は、automountlocation、automountmap、および automountkey Ansible モジュールをサポートするようになる
この更新では、ansible-freeipa パッケージに、ipaautomountlocation、ipaautomountmap、および ipaautomountkey モジュールが含まれています。これらのモジュールを使用して、IdM の場所にある IdM クライアントにログインした IdM ユーザーが自動的にマウントされるようにディレクトリーを設定できます。現在サポートされているのはダイレクトマップのみであることに注意してください。
(JIRA:RHELPLAN-79161)
subID 範囲の管理が shadow-utils でサポートされる
以前は、shadow-utils が /etc/subuid および /etc/subgid ファイルから subID 範囲を自動的に設定していました。今回の更新で、subid フィールドに値を設定することで、/etc/nsswitch.conf ファイルで subID 範囲の設定を利用できるようになりました。詳細は man subuid および man subgid を参照してください。また、この更新により、IPA サーバーからの subID 範囲を提供する shadow-utils プラグインの SSSD 実装が利用可能になりました。この機能を使用するには、subid: sss を /etc/nsswitch.conf に追加します。このソリューションは、コンテナー化した環境でルートレスコンテナーを容易にするために役立ちます。
/etc/nsswitch.conf ファイルが authselect ツールで設定されている場合は、authselect のドキュメントに記載されている手順に従う必要があります。そうでない場合は、/etc/nsswitch.conf を手動で修正できます。
(JIRA:RHELPLAN-103579)
従来の RHEL の ansible-freeipa リポジトリーに代わる Ansible 自動化ハブ
この更新では、標準の RHEL リポジトリーからダウンロードする代わりに、Ansible Automation Hub (AAH) から ansible-freeipa モジュールをダウンロードできます。AAH を使用することで、このリポジトリーで利用可能な ansible-freeipa モジュールのより高速な更新の恩恵を受けることができます。
AAH では、ansible-freeipa のロールとモジュールがコレクション形式で配布されます。AAH ポータルのコンテンツにアクセスするには、Ansible Automation Platform (AAP) サブスクリプションが必要であることに注意してください。また、ansible バージョン 2.9 以降も必要です。
redhat.rhel_idm コレクションには、従来の ansible-freeipa パッケージと同じコンテンツが含まれています。ただし、コレクション形式では、名前空間とコレクション名で構成される完全修飾コレクション名 (FQCN) が使用されます。たとえば、redhat.rhel_idm.ipadnsconfig モジュールは、RHEL リポジトリーによって提供される ansible-freeipa の ipadnsconfig モジュールに対応します。名前空間とコレクション名の組み合わせにより、オブジェクトが一意になり、競合することなく共有できるようになります。
(JIRA:RHELPLAN-103147)
ansible-freeipa モジュールを IdM クライアントでリモートで実行できるようになる
以前は、ansible-freeipa モジュールは IdM サーバーでのみ実行できました。これには、Ansible 管理者が IdM サーバーへの SSH アクセスを持っている必要があり、潜在的なセキュリティーの脅威を引き起こしていました。この更新により、IdM クライアントであるシステム上で ansible-freeipa モジュールをリモートで実行できるようになります。その結果、IdM の設定とエンティティーをより安全な方法で管理できます。
IdM クライアントで ansible-freeipa モジュールを実行するには、次のいずれかのオプションを選択します。
-
Playbook の
hosts変数を IdM クライアントホストに設定します。 -
ansible-freeipaモジュールを使用する Playbook タスクにipa_context: client行を追加します。
ipa_context 変数を IdM サーバー上の client に設定することもできます。ただし、通常、サーバーコンテキストの方がパフォーマンスが向上します。ipa_context が設定されていない場合、ansible-freeipa はサーバーまたはクライアントで実行されているかどうかを確認し、それに応じてコンテキストを設定します。IdM クライアントホスト上の server に context が設定された ansible-freeipa モジュールを実行すると、missing libraries エラーが発生することに注意してください。
(JIRA:RHELPLAN-103146)
ipadnsconfig モジュールには、グローバルフォワーダーを除外するための action: member が必要になる
今回の更新で、ansible-freeipa ipadnsconfig モジュールを使用して Identity Management (IdM) のグローバルフォワーダーを除外するには、state: absent オプションの他に action: member オプションを使用する必要があります。Playbook で action: member を使用せずに state: absent だけを使用すると、その Playbook は失敗します。そのため、すべてのグローバルフォワーダーを削除するには、Playbook でこれらをすべて個別に指定する必要があります。一方、state: present オプションに action: member は必要ありません。
Identity Management はデフォルトで SHA384withRSA 署名をサポートするようになりました
この更新により、IdM の認証局 (CA) は、SHA-384 With RSA 暗号化署名アルゴリズムをサポートします。SHA384withRSA は、連邦情報処理標準 (FIPS) に準拠しています。
SSSD のデフォルトの SSH ハッシュ値が OpenSSH 設定と一致するようになりました
ssh_hash_known_hosts のデフォルト値が false に変更になりました。これは、デフォルトでホスト名をハッシュしない OpenSSH 設定と一致するようになりました。
ただし、引き続きホスト名をハッシュする必要がある場合は、/etc/sssd/sssd.conf 設定ファイルの [ssh] セクションに ssh_hash_known_hosts = True を追加します。
samba がバージョン 4.15.5 にリベースされました。
samba パッケージがアップストリームバージョン 4.15.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が追加されました。
- 一貫したユーザーエクスペリエンスのために、Samba ユーティリティーのオプションの名前が変更され、削除されました。
- サーバーのマルチチャンネルサポートがデフォルトで有効になりました。
-
SMB2_22、SMB2_24、およびSMB3_10のダイアレクトは、Windows のテクニカルプレビューでのみ使用されていましたが、削除されました。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。
Samba を更新したら、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
重要な変更の詳細は、更新の前に アップストリーム のリリースノートを参照してください。
Directory Server がバージョン 1.4.3.28 にリベース
389-ds-baseパッケージがアップストリームバージョン 1.4.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
- レプリカで潜在的なデッドロックが修正されました。
-
dnaIntervalが0に設定されていると、サーバーが予想外に終了しなくなりました。 - 接続処理のパフォーマンスが改善されました。
-
アクセス制御命令 (ACI) での
targetfilterのパフォーマンスが改善されました。
Directory Server が、tmpfs ファイルシステムのデータベースのメモリーマッピングされたファイルを保存するようになりました。
Directory Server の nsslapd-db-home-directory パラメーターは、データベースのメモリーマッピングファイルの場所を定義します。この改善により、パラメーターのデフォルト値が /var/lib/dirsrv/slapd-instance_name/db/ から /dev/shm/ に変更になりました。その結果、tmpfs ファイルシステムに保存されている内部データベースがあると、Directory Server のパフォーマンスが向上します。
