4.10. Identity Management


samba がバージョン 4.18.4 にリベース

samba パッケージはアップストリームバージョン 4.18.4 にアップグレードされ、以前のバージョンに対するバグ修正と拡張機能が提供されています。最も注目すべき変更点:

  • 以前のリリースでのセキュリティーの向上は、メタデータの高いワークロードの Server Message Block (SMB) サーバーのパフォーマンスに影響を与えました。この更新により、このシナリオでのパフォーマンスが向上します。
  • 新しい wbinfo --change-secret-at=<domain_controller> コマンドは、指定されたドメインコントローラーの信頼アカウントのパスワードの変更を強制します。
  • デフォルトでは、Samba はアクセス制御リスト (ACL) をファイルの security.NTACL 拡張属性に保存します。/etc/samba/smb.conf ファイルの acl_xattr:<security_acl_name> 設定を使用して属性名をカスタマイズできるようになりました。カスタム拡張属性名は、security.NTACL のように保護された場所ではないことに注意してください。その結果、サーバーにローカルにアクセスできるユーザーはカスタム属性のコンテンツを変更し、ACL を侵害する可能性があります。

Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。

Samba を起動する前にデータベースファイルがバックアップされます。smbdnmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。

Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。

Bugzilla:2190417

ipa がバージョン 4.9.12 にリベース

ipa パッケージがバージョン 4.9.12 にアップグレードされました。詳細は、アップストリームの FreeIPA のリリースノート を参照してください。

Bugzilla:2196425

複数の IdM グループとサービスを単一の Ansible タスクで管理できるようになる

ansible-freeipa のこの機能拡張により、単一の Ansible タスクを使用して、複数の Identity Management (IdM) ユーザーグループとサービスを追加、変更、削除できるようになりました。そのためには、ipagroup モジュールと ipaservice モジュールの groupsservices オプションを使用します。

ipagroup で使用できる groups オプションを使用すると、特定のグループにのみ適用される複数のグループ変数を指定できます。このグループは、name 変数によって定義されます。これは、groups オプションの唯一の必須変数です。

同様に、ipaservice で使用できる services オプションを使用すると、特定のサービスにのみ適用される複数のサービス変数を指定できます。このサービスは、name 変数によって定義されます。これは、services オプションの唯一の必須変数です。

Jira:RHELDOCS-16474[1]

ansible-freeipa ipaserver ロールが Random Serial Numbers をサポートするようになる

この更新により、ansible-freeipa ipaserver ロールで ipaserver_random_serial_numbers=true オプションを使用できるようになりました。このようにして、Ansible を使用して Identity Management (IdM) サーバーをインストールするときに、PKI で証明書とリクエストの完全にランダムなシリアル番号を生成できます。RSNv3 を使用すると、大規模な IdM インストールでの範囲管理を回避し、IdM を再インストールする際の一般的な競合を防ぐことができます。

重要

RSNv3 は、新しい IdM インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。

Jira:RHELDOCS-16462[1]

ipaserver_remove_on_server オプションと ipaserver_ignore_topology_disconnect オプションが、ipaserver ロールで利用できるようになりました。

ipaserver ansible-freeipa ロールの remove_server_from_domain オプションを使用して、Identity Management (IdM) トポロジーからレプリカを削除すると、トポロジーが切断されます。ここで、ドメインの保持したい部分を指定する必要があります。具体的には、次のことを行う必要があります。

  • ipaserver_remove_on_server 値を指定して、トポロジーのどの部分を保持するかを指定します。
  • ipaserver_ignore_topology_disconnect を True に設定します。

remove_server_from_domain オプションを使用して IdM からレプリカを削除した場合に、接続されたトポロジーが保持される場合は、これらのオプションはどちらも必要ないことに注意してください。

Bugzilla:2127901

ipaclient ロールにより、IdM レベルでユーザーの subID 範囲を設定できるようになる

この更新により、ipaclient ロールには ipaclient_subid オプションが提供され、これを使用して Identity Management (IdM) レベルで subID 範囲を設定できるようになりました。新しいオプションを明示的に true に設定しないと、ipaclient ロールはデフォルトの動作を維持し、IdM ユーザーに設定された subID 範囲なしでクライアントをインストールします。

以前は、このロールは sssd authselect プロファイルを設定し、それによって /etc/nsswitch.conf ファイルがカスタマイズされていました。subID データベースは IdM を使用せず、/etc/subuid および /etc/subgid のローカルファイルのみに依存しました。

Bugzilla:2175766

ipacert Ansible モジュールを使用して IdM 証明書を管理できるようになる

ansible-freeipa ipacert モジュールを使用して、Identity Management (IdM) ユーザー、ホスト、およびサービスの SSL 証明書をリクエストまたは取得できるようになりました。ユーザー、ホスト、およびサービスは、これらの証明書を使用して IdM に対する認証を行うことができます。証明書を取り消したり、保留された証明書を復元したりすることもできます。

Bugzilla:2127906

MIT Kerberos が拡張 KDC MS-PAC 署名をサポートするようになる

この更新により、Red Hat が使用する MIT Kerberos は、最近の CVE に対応して Microsoft が導入した、2 種類の特権属性証明書 (PAC) 署名のうち 1 種類のサポートを実装します。具体的には、RHEL 8 の MIT Kerberos は、KB5020805 でリリースされ、CVE-2022-37967 に対処する拡張 KDC 署名をサポートします。

ABI の安定性の制約 のため、RHEL8 上の MIT Kerberos は、他の PAC 署名タイプ、つまり KB4598347 で定義されているチケット署名をサポートできないことに注意してください。

この機能拡張に関連する問題のトラブルシューティングについては、以下のナレッジベースの記事を参照してください。

BZ#2211387 および BZ#2176406 も参照してください。

Bugzilla:2211390

RHEL 8.9 は 389-ds-base 1.4.3.37 を提供する

RHEL 8.9 は、389-ds-base パッケージのバージョン 1.4.3.37 とともに配布されます。

Bugzilla:2188628

新しい passwordAdminSkipInfoUpdate: on/off 設定オプションが利用可能になる

新しい passwordAdminSkipInfoUpdate: on/off 設定を cn=config エントリーに追加すると、パスワード管理者が実行するパスワード更新をきめ細かく制御できます。この設定を有効にすると、パスワードの更新では、passwordHistorypasswordExpirationTimepasswordRetryCountpwdReset、および passwdExpWarned などの特定の属性は更新されません。

Bugzilla:2166332

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.