4.13. Identity Management
python-jwcrypto
がバージョン 1.5.6 にリベース
python-jwcrypto
パッケージがバージョン 1.5.6 に更新されました。このバージョンには、攻撃者が高圧縮率の悪意のある JWE トークンを渡すことでサービス拒否攻撃を引き起こす可能性がある問題に対するセキュリティー修正が含まれています。
Jira:RHELDOCS-18197[1]
ansible-freeipa
が 1.13.2 にリベース
ansible-freeipa
パッケージがバージョン 1.12.1 から 1.13.2 にリベースされました。主な機能拡張は次のとおりです。
-
ansible-freeipa
Playbook 用の Identity Management (IdM) サーバーのインベントリーを動的に作成できるようになりました。freeipa
プラグインは、ドメイン内の IdM サーバーに関するデータを収集し、指定された IdM サーバーロールが割り当てられているサーバーのみを選択します。たとえば、ドメイン内のすべての IdM DNS サーバーのログを検索して、起こりうる問題を検出する必要がある場合、このプラグインにより、DNS サーバーロールを持つすべての IdM レプリカを検出し、管理対象ノードに自動的に追加できます。 単一の Ansible タスクを使用して複数の Identity Management (IdM) ユーザー、ユーザーグループ、ホスト、およびサービスを追加、変更、削除する
ansible-freeipa
Playbook をより効率的に実行できるようになりました。以前は、ユーザーリスト内の各エントリーに専用の API 呼び出しがありました。この機能拡張により、複数の API 呼び出しがタスク内で 1 つの API 呼び出しに統合されます。これと同じことが、ユーザーグループ、ホスト、およびサービスのリストにも適用されます。その結果、
ipauser
、ipagroup
、ipahost
、およびipaservice
モジュールを使用してこれらの IdM オブジェクトを追加、変更、削除する速度が向上します。最大の利点は、クライアントコンテキストを使用すると得られます。ansible-freeipa
が、ansible-freeipa-collection
サブパッケージ内の Ansible コレクションとして、ロールとモジュールを追加で提供するようになりました。新しいコレクションを使用するには:-
ansible-freeipa-collection
サブパッケージをインストールします。 -
ロールとモジュールの名前に
freeipa.ansible_freeipa
接頭辞を追加します。Ansible の推奨事項に従うには、完全修飾名を使用します。たとえば、ipahbacrule
モジュールを参照するには、freeipa.ansible_freeipa.ipahbacrule
を使用します。
module_defaults
を適用することで、freeipa.ansible_freeipa
コレクションの一部であるモジュールの使用を簡素化できます。-
ipa
がバージョン 4.12.0 にリベース
ipa
パッケージがバージョン 4.11 から 4.12.0 に更新されました。主な変更点は、以下のとおりです。
- OTP トークンを提供しないユーザーに対して、LDAP 認証を失敗するように強制できます。
- 信頼できる Active Directory ユーザーを使用して、Identity Management (IdM) クライアントを登録できます。
- FreeIPA のアイデンティティーマッピングに関するドキュメントが利用可能になりました。
-
python-dns
パッケージがバージョン 2.6.1-1.el10 にリベースされました。 -
ansible-freeipa
パッケージが、バージョン 1.12.1 から 1.13.2 にリベースされました。
詳細は、FreeIPA および ansible-freeipa アップストリームのリリースノートを参照してください。
certmonger
がバージョン 0.79.20 にリベース
certmonger
パッケージがバージョン 0.79.20 にリベースされました。この更新には、さまざまなバグ修正と機能拡張が含まれています。主なものは次のとおりです。
- 内部トークン内の新しい証明書の処理が強化され、更新時の削除プロセスが改善されました。
-
CKM_RSA_X_509
暗号化メカニズムのトークンに対する制限を削除しました。 -
getcert add-scep-ca
、--ca-cert
、および--ra-cert
オプションのドキュメントを修正しました。 - D-Bus サービスと設定ファイルの名前を正規名と一致するように変更しました。
-
getcert-resubmit
の man ページで欠落していた.TP
タグを追加しました。 - SPDX ライセンス形式に移行しました。
-
getcert list
出力に所有者と権限の情報が含まれるようになりました。 -
cm_certread_n_parse
関数で NSS データベースの要件を削除しました。 - Webplate を使用して簡体字中国語、グルジア語、ロシア語の翻訳を追加しました。
389-ds-base
がバージョン 2.5.2 にリベース
389-ds-base
パッケージがバージョン 2.5.2 に更新されました。バージョン 2.4.5 への主なバグ修正および機能拡張は、以下のとおりです。
MIT krb5
TCP 接続タイムアウト処理が改善される
以前は、TCP 接続は 10 秒後にタイムアウトしていました。この更新により、MIT krb5
TCP 接続処理が変更され、デフォルトのタイムアウトが使用されなくなりました。request_timeout
設定では、個々の TCP 接続の期間ではなく、合計リクエスト期間が制限されるようになりました。この変更により、特に 2 要素認証のユースケースにおける SSSD とのインテグレーションの問題が対処されます。その結果、request_timeout
設定によってグローバルリクエストの最大期間が効果的に制御されるようになり、ユーザーは TCP 接続のより一貫した処理を体験できるようになります。
Jira:RHEL-17132[1]