Red Hat Summit6.12. Identity Management
ipa-healthcheck が証明書の有効期限切れについて警告するようになりました
この更新により、ipa-healthcheck ツールは、ユーザーが提供した HTTP、DS、および PKINIT 証明書の有効期限を評価し、有効期限の 28 日前に警告を発するようになりました。これは、証明書の有効期限が見落とされ、ダウンタイムが発生する可能性を防ぐためです。
Jira:RHELDOCS-20303[1]
ansible-freeipa が 1.15.1 にリベースされました
Red Hat Identity Management (IdM) 環境を管理するためのモジュールとロールを提供する freeipa.ansible_freeipa RPM コレクションが、バージョン 1.13.2 から 1.15.1 にリベースされました。この更新には、次の機能拡張が含まれています。
-
RPM コレクションが、Red Hat Ansible Automation Hub (RH AAH) によって提供される
redhat.rhel_idmコレクションの名前空間および名前と互換性を持つようになりました。RPM コレクションをインストールした場合、AAH のロールとモジュールを参照する Playbook を実行できるようになりました。内部的には、RPM コレクションの名前空間と名前が使用されることに注意してください。
Jira:RHELDOCS-20257[1]
krbLastSuccessfulAuth が有効な場合、Healthcheck が警告を表示します
ipaConfigString 属性で krbLastSuccessfulAuth 設定を有効にすると、多数のユーザーが同時に認証する場合にパフォーマンスの問題が発生する可能性があります。したがって、この設定はデフォルトでは無効になっています。この更新により、krbLastSuccessfulAuth が有効になっている場合、パフォーマンスの問題が発生する可能性があることを警告するメッセージを Healthcheck が表示するようになりました。
Jira:RHEL-84771[1]
レガシーシステムとの互換性を保つために、IdM が Linux の UID 上限までの UID をサポートするようになりました
この更新により、最大 4,294,967,293 (2^32-1) までのユーザー ID とグループ ID を使用できるようになりました。これにより、IdM の最大値が Linux の UID 上限値と一致するようになりました。これは、標準の IdM の範囲 (2,147,483,647 まで) では不十分となるまれなケースで役立ちます。具体的には、完全な 32 ビット POSIX ID 空間を必要とするレガシーシステムと並行して IdM をデプロできるようになります。
標準的なデプロイメントでは、IdM は subID 用に 2,147,483,648 - 4,294,836,223 の範囲を予約します。2^31 から 2^32-1 までの UID 範囲を使用するには、subID 機能を無効にする必要があるため、最新の Linux 機能と競合します。
2^32-1 までの UID を有効にするには、以下を実行します。
subID 機能を無効にします。
ipa config-mod --addattr ipaconfigstring=SubID:Disable
$ ipa config-mod --addattr ipaconfigstring=SubID:DisableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 既存の subID 範囲を削除します。
ipa idrange-del <id_range>
$ ipa idrange-del <id_range>Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM サーバーで、内部 DNA プラグイン設定が正しく削除されていることを確認します。
ipa-server-upgrade
# ipa-server-upgradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 2^31 から 2^32-1 までの空間を含む新しいローカル ID 範囲を追加します。IdM がユーザーとグループの SID を適切に生成できるように、この新しい範囲の RID ベースを定義してください。
subID 機能を無効にできるのは、subID がまだ割り当てられていない場合だけです。
Jira:RHEL-67686[1]
samba がバージョン 4.22.4 にリベースされました
samba パッケージがアップストリームバージョン 4.22.4 に更新されました。このバージョンでは、バグ修正および機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- Samba が、サーバーメッセージブロックバージョン 3 (SMB3) ディレクトリーリースに対応しました。この機能拡張により、クライアントがディレクトリーリストをキャッシュできるようになり、ネットワークトラフィックが削減され、パフォーマンスが向上します。
-
Samba が、従来のポート 389 UDP メソッドの代わりに、TCP ベースの LDAP または LDAPS を使用してドメインコントローラー (DC) 情報を問い合わせる機能に対応しました。この機能拡張により、ファイアウォールで制限された環境との互換性が向上します。
client netlogon ping protocolパラメーター (デフォルト値:CLADP) を使用してプロトコルを設定できます。 次の設定パラメーターが削除されました。
-
nmbd_proxy_logon: この設定は、Samba が独自の NetBIOS over TCP/IP (NBT) サーバーを導入する前に、NetLogon 認証要求を Windows NT4 プライマリードメインコントローラー (PDC) に転送するために使用されていました。 -
cldap port: Connectionless Lightweight Directory Access Protocol (CLDAP) は常に UDP ポート 389 を使用します。また、Samba コードではこのパラメーターが一貫して使用されていなかったため、動作に一貫性がありませんでした。 -
fruit:posix_rename:vfs_fruitモジュールのこのオプションは、Windows クライアントで問題を引き起こす可能性があるため削除されました。MacOS では、ネットワークマウント上での.DS_Storeファイルの作成を防ぐための回避策として、defaults write com.apple.desktopservices DSDontWriteNetworkStores trueコマンドを使用してください。
-
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前に、データベースファイルをバックアップしてください。Samba は、smbd、nmbd、または winbind サービスが起動すると、tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
Identity Management Upgrade Helper
Identity Management Upgrade Helper は、IdM 環境を新しい RHEL バージョンにアップグレードする作業を簡素化する新しいアプリケーションです。お客様のアップグレードパスに特化したステップバイステップの手順を含むアップグレードプランを提供します。そのため、このアプリケーションを使用すると、明確な指示に従ってデプロイメントを準備し、新しいレプリカを設定し、古いサーバーを廃止することができます。
このアプリケーションを使用するには、Red Hat カスタマーポータルの Identity Management Upgrade Helper を参照してください。
Jira:RHELDOCS-21103[1]
dsconf または Web コンソールを使用して、属性の一意性の検証からサブツリーを除外できるようになりました
この更新により、dsconf ユーティリティーおよび Web コンソールから直接、Attribute Uniqueness プラグインの uniqueness-exclude-subtrees パラメーターを設定できるようになりました。この更新前は、uniqueness-exclude-subtrees を設定するには、ldapmodify ユーティリティーを使用する必要がありました。
プラグインによる属性値の一意性検証の除外対象とする識別名 (DN) を設定するには、dsconf plugin attr-uniq set コマンドの --exclude-subtree オプションを使用してください。または、Web コンソールの Plugins メニューに移動し、Attribute Uniqueness プラグインの設定を追加または編集して、Excluded Subtrees フィールドを設定してください。
389-ds-base がバージョン 3.1.3 にリベースされました
389-ds-base パッケージがバージョン 3.1.3 に更新されました。このバージョンでは、さまざまなバグ修正と機能拡張が行われています。主なものは次のとおりです。
- Session Tracking Control インターネットドラフトのサポート
-
PBKDF2-* プラグインの
nsslapd-pwdPBKDF2NumIterations設定属性 - エラーログのログバッファリング
-
パスワードストレージスキームとして
CRYPT-YESCRYPTをサポート - JSON 形式のアクセスログとエラーログ
dsidmのさまざまなバグ修正:-
dsidmがargument must be a string or a numberで失敗しなくなりました。 -
dsidm get_dnが、組織単位、サービス、および POSIX グループに対して失敗しなくなりました。 -
dsidm uniquegroup membersが一意のグループメンバーを正しく表示するようになりました。 -
dsidm role rename-by-dnがロールの名前を正しく変更するようになりました。 -
dsidm -j account get-by-dnとdsidm -j role get-by-dnが、JSON 形式で出力を返すようになりました。 -
dsidm role subtree-statusがサブツリーのステータスを正しく表示するようになりました。 -
dsidm role create-nestedおよびdsidm role create-filteredが、ネストされたロールとフィルタリングされたロールを作成するようになりました。 -
dsidm role deleteがロールを適切に削除するようになりました。 -
dsidm user renameがユーザーの名前を正しく変更するようになりました。 -
dsidm account unlockが、非アクティブ期間の制限に達したユーザーアカウントを正しく再有効化するようになりました。
-
属性の一意性を検索するための Attribute Uniqueness プラグインのカスタムマッチングルール
この更新により、Attribute Uniqueness プラグインの設定で、一意性を強制する属性のマッチングルールを指定できるようになりました。これは、属性の構文を case exact や case ignore からオーバーライドする場合などに使用できます。
プラグイン設定で、属性とそのマッチングルールを次のように指定してください。
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
この更新前は、case exact 構文で属性 cn を使用した場合、比較する 2 つの値の大文字と小文字が異なると、Attribute Uniqueness プラグインは一致する値を検出できませんでした。現在は、管理者がマッチングルールを設定して case ignore に設定できるため、プラグインによって値が一致すると認識されます。
uniqueness-attribute-name: cn:caseIgnoreMatch:
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109018[1]
389-ds-base のアクセスログとエラーログで JSON 形式が利用可能になりました
この更新により、次のコマンドを使用して、アクセスログファイルとエラーログファイルを JSON 形式に設定できるようになりました。
dsconf <instance_name> logging access set log-format json dsconf <instance_name> logging error set log-format json
# dsconf <instance_name> logging access set log-format json
# dsconf <instance_name> logging error set log-format json
これらのコマンドにより、nsslapd-accesslog-log-format または nsslapd-errorlog-json-format 設定属性が json に設定されます。その結果、アクセスロギングとエラーロギングを標準の解析ツールで利用しやすくなります。
形式の設定を変更すると、Directory Server により、現在のログファイルがローテーションされることに注意してください。
新しい list --full-dn オプションが dsidm ユーティリティーで利用可能になりました
この更新により、list --full-dn オプションを使用して、同じタイプのエントリーの完全な識別名 (DN) のリストを取得できるようになりました。たとえば、ロールの DN を表示するには、次のコマンドを使用します。
dsidm <instance_name> -b dc=example,dc=com role list --full-dn
# dsidm <instance_name> -b dc=example,dc=com role list --full-dn
この更新前は、dsidm ツールを使用してこれらのエントリーの DN を特定する手段がありませんでした。既存の list オプションでは、相対識別名 (RDN) の値しか表示されなかったためです。
389-ds-base ログファイルに、バインドまたは変更操作のセッション識別子が含まれるようになりました。
この機能拡張により、レプリケーションプラグインが、セッション追跡機能と連携して、クライアントアクティビティーと 389-ds-base のサーバー操作を関連付けるようになりました。
クライアント側では、レプリケーションデバッグレベルが有効な場合、クライアントエラーログに次のメッセージが含まれます。
[time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - "EWBpte8J8Wx 2" - agmt="cn=004" (localhost:39004): State: wait_for_changes -> ready_to_acquire_replica
[time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - "EWBpte8J8Wx 2" - agmt="cn=004" (localhost:39004): State: wait_for_changes -> ready_to_acquire_replicaサーバー側では、デバッグログレベルを設定しなくても、アクセスログに次のようなメッセージが含まれます。
[time_stamp] conn=2 op=7 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=\*)" attrs="distinguishedName" [time_stamp]] conn=2 op=7 RESULT err=0 tag=101 nentries=1 wtime=0.000189515 optime=0.000171470 etime=0.000358345 notes=U,P details="Partially Unindexed Filter,Paged Search" pr_idx=0 pr_cookie=-1 sid="EWBpte8J8Wx 2"
[time_stamp] conn=2 op=7 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=\*)" attrs="distinguishedName"
[time_stamp]] conn=2 op=7 RESULT err=0 tag=101 nentries=1 wtime=0.000189515 optime=0.000171470 etime=0.000358345 notes=U,P details="Partially Unindexed Filter,Paged Search" pr_idx=0 pr_cookie=-1 sid="EWBpte8J8Wx 2"その結果、接続や操作の発生元をより効率的に追跡できるようになりました。これにより、接続や操作が行われる環境において、全体的な効率とトラブルシューティング能力が向上します。
Jira:RHEL-31959[1]
ACME サーバーに ES256 署名アルゴリズムのサポートが追加されました
以前は、Automatic Certificate Management Environment (ACME) サーバーは、JSON Web Key (JWK) 検証用の ES256 署名アルゴリズムをサポートしていませんでした。このアルゴリズムのサポートが欠けていたため、Caddy Web サーバーなどの特定のクライアントが、証明書を正常に取得できませんでした。
この更新により、ACME サーバーが強化され、JWK 検証用の ES256 署名アルゴリズムがサポートされるようになりました。
その結果、サーバーは Caddy Web サーバーなどの ES256 を使用するクライアントと相互運用できるようになりました。これにより、クライアントが証明書を正常に取得して、セキュアな HTTPS 通信を確立できるようになりました。
Jira:RHEL-98721[1]
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-17465[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}