4.10. Identity Management
samba
がバージョン 4.18.4 にリベース
samba
パッケージはアップストリームバージョン 4.18.4 にアップグレードされ、以前のバージョンに対するバグ修正と拡張機能が提供されています。最も注目すべき変更点:
- 以前のリリースでのセキュリティーの向上は、メタデータの高いワークロードの Server Message Block (SMB) サーバーのパフォーマンスに影響を与えました。この更新により、このシナリオでのパフォーマンスが向上します。
-
新しい
wbinfo --change-secret-at=<domain_controller>
コマンドは、指定されたドメインコントローラーの信頼アカウントのパスワードの変更を強制します。 -
デフォルトでは、Samba はアクセス制御リスト (ACL) をファイルの
security.NTACL
拡張属性に保存します。/etc/samba/smb.conf
ファイルのacl_xattr:<security_acl_name>
設定を使用して属性名をカスタマイズできるようになりました。カスタム拡張属性名は、security.NTACL
のように保護された場所ではないことに注意してください。その結果、サーバーにローカルにアクセスできるユーザーはカスタム属性のコンテンツを変更し、ACL を侵害する可能性があります。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd
、nmbd
、またはwinbind
サービスが起動すると、Samba が tdb
データベースファイルを自動的に更新します。Red Hat は、tdb
データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm
ユーティリティーを使用して /etc/samba/smb.conf
ファイルを確認します。
ipa
がバージョン 4.9.12 にリベース
ipa
パッケージがバージョン 4.9.12 にアップグレードされました。詳細は、アップストリームの FreeIPA のリリースノート を参照してください。
複数の IdM グループとサービスを単一の Ansible タスクで管理できるようになる
ansible-freeipa
のこの機能拡張により、単一の Ansible タスクを使用して、複数の Identity Management (IdM) ユーザーグループとサービスを追加、変更、削除できるようになりました。そのためには、ipagroup
モジュールと ipaservice
モジュールの groups
と services
オプションを使用します。
ipagroup
で使用できる groups
オプションを使用すると、特定のグループにのみ適用される複数のグループ変数を指定できます。このグループは、name
変数によって定義されます。これは、groups
オプションの唯一の必須変数です。
同様に、ipaservice
で使用できる services
オプションを使用すると、特定のサービスにのみ適用される複数のサービス変数を指定できます。このサービスは、name
変数によって定義されます。これは、services
オプションの唯一の必須変数です。
Jira:RHELDOCS-16474[1]
ansible-freeipa
ipaserver
ロールが Random Serial Numbers をサポートするようになる
この更新により、ansible-freeipa
ipaserver
ロールで ipaserver_random_serial_numbers=true
オプションを使用できるようになりました。このようにして、Ansible を使用して Identity Management (IdM) サーバーをインストールするときに、PKI で証明書とリクエストの完全にランダムなシリアル番号を生成できます。RSNv3 を使用すると、大規模な IdM インストールでの範囲管理を回避し、IdM を再インストールする際の一般的な競合を防ぐことができます。
RSNv3 は、新しい IdM インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。
Jira:RHELDOCS-16462[1]
ipaserver_remove_on_server
オプションと ipaserver_ignore_topology_disconnect
オプションが、ipaserver
ロールで利用できるようになりました。
ipaserver
ansible-freeipa
ロールの remove_server_from_domain
オプションを使用して、Identity Management (IdM) トポロジーからレプリカを削除すると、トポロジーが切断されます。ここで、ドメインの保持したい部分を指定する必要があります。具体的には、次のことを行う必要があります。
-
ipaserver_remove_on_server
値を指定して、トポロジーのどの部分を保持するかを指定します。 -
ipaserver_ignore_topology_disconnect
を True に設定します。
remove_server_from_domain
オプションを使用して IdM からレプリカを削除した場合に、接続されたトポロジーが保持される場合は、これらのオプションはどちらも必要ないことに注意してください。
ipaclient
ロールにより、IdM レベルでユーザーの subID 範囲を設定できるようになる
この更新により、ipaclient
ロールには ipaclient_subid
オプションが提供され、これを使用して Identity Management (IdM) レベルで subID 範囲を設定できるようになりました。新しいオプションを明示的に true
に設定しないと、ipaclient
ロールはデフォルトの動作を維持し、IdM ユーザーに設定された subID 範囲なしでクライアントをインストールします。
以前は、このロールは sssd
authselect
プロファイルを設定し、それによって /etc/nsswitch.conf
ファイルがカスタマイズされていました。subID データベースは IdM を使用せず、/etc/subuid
および /etc/subgid
のローカルファイルのみに依存しました。
ipacert
Ansible モジュールを使用して IdM 証明書を管理できるようになる
ansible-freeipa
ipacert
モジュールを使用して、Identity Management (IdM) ユーザー、ホスト、およびサービスの SSL 証明書をリクエストまたは取得できるようになりました。ユーザー、ホスト、およびサービスは、これらの証明書を使用して IdM に対する認証を行うことができます。証明書を取り消したり、保留された証明書を復元したりすることもできます。
MIT Kerberos が拡張 KDC MS-PAC 署名をサポートするようになる
この更新により、Red Hat が使用する MIT Kerberos は、最近の CVE に対応して Microsoft が導入した、2 種類の特権属性証明書 (PAC) 署名のうち 1 種類のサポートを実装します。具体的には、RHEL 8 の MIT Kerberos は、KB5020805 でリリースされ、CVE-2022-37967 に対処する拡張 KDC 署名をサポートします。
ABI の安定性の制約 のため、RHEL8 上の MIT Kerberos は、他の PAC 署名タイプ、つまり KB4598347 で定義されているチケット署名をサポートできないことに注意してください。
この機能拡張に関連する問題のトラブルシューティングについては、以下のナレッジベースの記事を参照してください。
- RHEL-8.9 IdM update, web UI and CLI 401 Unauthorized with KDC S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC - user and group objects need SIDs
- find_sid_for_ldap_entry - [file ipa_sidgen_cofind_sid_for_ldap_entry - [file ipa_sidgen_common.c, line 521]: Cannot convert Posix ID [120000023l] into an unused SID]
- When upgrading to RHEL9, IDM users are not able to login anymore
- POSIX IDs, SIDs and IDRanges in IPA
BZ#2211387 および BZ#2176406 も参照してください。
RHEL 8.9 は 389-ds-base
1.4.3.37 を提供する
RHEL 8.9 は、389-ds-base
パッケージのバージョン 1.4.3.37 とともに配布されます。
新しい passwordAdminSkipInfoUpdate: on/off
設定オプションが利用可能になる
新しい passwordAdminSkipInfoUpdate: on/off
設定を cn=config
エントリーに追加すると、パスワード管理者が実行するパスワード更新をきめ細かく制御できます。この設定を有効にすると、パスワードの更新では、passwordHistory
、passwordExpirationTime
、passwordRetryCount
、pwdReset
、および passwdExpWarned
などの特定の属性は更新されません。