6.13. SSSD

複数の PKCS#11 トークンがある環境でのスマートカード認証が改善されました

SSSD のスマートカード認証が強化され、複数の PKCS#11 トークンが同時に挿入される環境で認証を処理できるようになりました。これにより、特に複数のユーザーアカウントが必要で、それぞれが異なる特権を持ち、多くの場合個別の PKI トークンに関連付けられている STIG 準拠の環境での認証が改善されます。

以前は、最初にチェックされたトークンに適合する証明書が含まれていない場合、SSSD が認証に失敗することがありました。これは、SSSD が他の利用可能なトークンにある適切な証明書を続けて検索していなかったためです。この更新により、SSSD は挿入されたすべての PKCS#11 トークンをスキャンして適合する認証証明書を探すようになりました。その結果、ユーザーが正常に認証できるようになりました。

Jira:RHEL-4976

RootDSE の読み取りを制御する新しい SSSD オプション ldap_read_rootdse

この更新により、SSSD が新しいオプションである ldap_read_rootdse を提供するようになりました。これは、SSSD が LDAP サーバーから Root Directory Service Entry (RootDSE) を読み取る方法を制御するためのオプションです。デフォルトでは、SSSD はユーザーが認証する前に RootDSE を匿名で読み取ろうとします。しかし、このデフォルトの動作は、厳格なセキュリティーポリシーと競合する場合があります。厳格なセキュリティーポリシーは、通常、LDAP サーバーへのすべての匿名バインドを制限します。

この動作を管理するには、ldap_read_rootdse オプションを authenticated に設定して、ユーザー認証が成功した後にのみ SSSD が RootDSE を読み取るように指示するか、このオプションを never に設定して、SSSD による読み取りを完全に防止してください。

Jira:RHEL-13086^[1]

トップに戻る

6.13. SSSD

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links