6.16. SSSD

authselect にグループマージのサポートが追加される

authselect ユーティリティーを使用している場合は、グループのマージを有効にするために nssswitch.conf ファイルを手動で編集する必要がなくなりました。この更新により、authselect プロファイルに統合され、手動での変更が不要になりました。

authselect は PAM で必須となり、アンインストールできない

この機能拡張により、authselect-libs パッケージは、/etc/nsswitch.conf および /etc/pam.d/ 内の system-auth、password-auth、smartcard-auth、fingerprint-auth、postlogin などの選択された PAM 設定を所有するようになりました。これらのファイルの所有権は、以前は glibc パッケージが所有していた /etc/nsswitch.conf と、以前は pam パッケージが所有していた PAM 設定ファイルを含む、authselect-libs パッケージに移行されました。authselect は pam パッケージに必要なので、アンインストールできません。

Local プロファイルが新しいデフォルトの authselect プロファイルとなる

SSSD ファイルプロバイダーが削除されたため、SSSD に依存せずにローカルユーザー管理を処理するための新しい authselect local プロファイルが導入されました。local プロファイルは以前の minimal プロファイルを置き換え、sssd プロファイルの代わりに、新しいインストールのデフォルトの authselect プロファイルになります。

SSSD での動的 DoT 更新のサポート

SSSD は、DNS-over-TLS (DoT) を使用してすべての動的 DNS (dyndns) クエリーを実行することをサポートします。IP アドレスが変更された際に、Identity Management (IdM) や Active Directory サーバーなどの DNS レコードをセキュアに更新できます。この機能を有効にするには、bind9.18-utils パッケージから nsupdate ツールをインストールする必要があります。

新しい SSSD オプション: exop_force

exop_force オプションを使用すると、猶予ログインが残っていない場合でもパスワードの変更を強制できます。以前は、LDAP サーバーが猶予ログインが残っていないことを示した場合、SSSD はパスワードの変更を試行しませんでした。現在は、sssd.conf ファイルの [domain/…] セクションで ldap_pwmodify_mode = exop_force を設定すると、SSSD は猶予ログインが残っていなくてもパスワードの変更を試みます。

権限を制限した SSSD の実行

一般的なシステム強化 (可能な限り最小限の権限でソフトウェアを実行する) をサポートするために、System Security Services Daemon (SSSD) サービスは、systemd サービス設定ファイル (サービスユーザー) を使用して、sssd または root で実行するように設定されるようになりました。このサービスユーザーはデフォルトで root に設定され、設定されているサービスユーザーが root か sssd かに関係なく、いくつかの特権ヘルパープロセスを除いてすべての root 機能が削除されます。

KnownHostsCommand のサポートが SSSD に追加される

この更新により、SSSD に KnownHostsCommand のサポートが追加されました。SSH KnownHostsCommand 設定オプションを指定したツール sss_ssh_knownhosts を使用して、FreeIPA、LDAP などのリモートサーバーからホストの公開鍵を取得できます。sss_ssh_knownhosts ツールは、信頼性の低い sss_ssh_knownhostsproxy ツールを置き換えます。sss_ssh_knownhostsproxy は使用できなくなり、ツールが廃止されたことを示すメッセージが表示されます。