Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第2章 認証および相互運用性

SSSD がネスト化されたドメイン内の AD ユーザーの補助グループを正しく報告

次の場合に、2 つの AD ドメインに存在する同じ samAccountName 属性を持つ Active Directory (AD)ユーザーに補助グループの解決が失敗する場合があります。
  • AD ドメインの 1 つが、もう一方のドメイン下で入れ子になっています。
  • ユーザーはデフォルト以外の組織単位(OU)に保存されました。
そのため、id [user_name] コマンドは、これらのユーザーのプライマリーグループのみを報告していました。
基礎となる SSSD コードが改善され、ユーザーアカウントのドメインとの照合が改善されました。その結果、SSSD は上記の状況で AD ユーザーの補助グループも報告します。(BZ#1293168)

2 つの SRV 解決要求が同時に実行されている場合、認証が失敗しなくなりました。

複数のサービスレコード(SRV)解決リクエストが同時に実行された場合、その 1 つによって新しいサーバーが見つからなかったことを示す失敗が返されました。そのため、ssh ユーティリティーを使用した認証に失敗していました。今回の更新により、SSSD は 2 つの同時 SRV 解決要求を正常に処理するようになりました。その結果、この状況では認証が失敗することはなくなりました。(BZ#1367435)

アカウントが期限切れまたはロックされたユーザーは、SSH 鍵を使用して IdM クライアントにログインできなくなりました。

期限切れまたはロックされたユーザーアカウントを持つ信頼された Active Directory (AD)ユーザーが、SSH 鍵などのパスワードを使用しないログイン方法を使用して Identity Management (IdM)クライアントへのログインを試みると、ログインは成功しました。今回の更新により、IdM クライアントは、AD ユーザーがログインできるかどうかを確認するときに AD ロックアウト属性をチェックします。その結果、この状況において、期限切れまたはロックされたアカウントを持つ AD ユーザーはログインできなくなりました。
このバグではセキュリティー上の影響はありません。ユーザーアカウントの有効期限が切れているか、サーバー側でロックされているため、AD ユーザーは IdM クライアントで Kerberos チケットを取得できませんでした。(BZ#1335400)

sssd_be サブプロセスが不必要に消費されなくなりました

以前は、/etc/sssd/sssd.conf ファイルで id_provider オプションが ad に設定されている場合、sssd_be プロセス内のヘルパープロセスが失敗することがありました。その結果、プロセスは新しい sssd_be インスタンスを生成し、追加のメモリーが消費されました。
今回の更新により、SSSD は、ヘルパープログラムが利用できない場合に sssd_be サブプロセスをフォークしません。これにより、消費されるメモリーの量が減ります。(BZ#1336453)

Keytab 内のシステムパスワードの更新を試みても SSSD が機能しなくなる

キータブに保存されているシステムパスワードを更新しようとすると、System Security Services Daemon (SSSD)がファイル記述子をリークしました。リークしたファイル記述子は徐々に蓄積され、SSSD が機能しなくなりました。
この更新により、SSSD は、この状況でファイル記述子をリークしなくなりました。これにより、SSSD は、システムに悪影響を及ぼすことなく、システムパスワードの更新を継続できます。(BZ#1340176)

SSSD が、key=value以外の形式で属性を含む GPO ファイルを正しく処理するようになりました。

以前は、SSSD (System Security Services Daemon)は、key=value 以外の形式で属性ペアを含む INI ファイルを正しく処理しませんでした。その結果、SSSD は、そのような属性を含むグループポリシーオブジェクト(GPO)ファイルを処理できませんでした。
この更新により、key=value とは異なる属性形式を使用しても、SSSD が上記のファイルを正しく処理できるようになりました。(BZ#1374813)

SSSD が、externalUser のユーザーを正しく解決するようになりました。

externalUser LDAP 属性のサポートは、Red Hat Enterprise Linux 6.8 の System Security Services Daemon (SSSD)から削除されました。その結果、/etc/passwd ファイルを使用した場合など、ローカルアカウントへの sudo ルールの割り当てに失敗していました。この問題は、Identity Management (IdM)ドメインと Active Directory (AD)の信頼されるドメイン以外のアカウントのみに影響しました。
この更新により、SSSD が externalUser 属性が定義されたユーザーを正しく解決するようになりました。その結果、上記の状況では、sudo ルールの割り当てが期待どおりに機能します。(BZ#1321884)

SSSD が AD 環境でローカルオーバーライドを正しく作成する

以前は、/etc/sssd/sssd.conf ファイルで id_provider オプションが ad に設定されている場合、sss_override ユーティリティーは大文字と小文字を区別しない識別名(DN)を作成していました。ただし、SSSD キャッシュ内の DN は大文字と小文字を区別します。そのため、Active Directory (AD)サブドメインからのユーザーと、ケースアカウント名が混在するユーザーに対して、ローカルの上書きは作成されません。この更新により、SSSD はキャッシュ内のオブジェクトを検索し、検索結果から DN を使用します。これにより、前述の状況で問題が修正されます。(BZ#1327272)

OpenLDAP が NSS 設定を正しく設定するようになりました。

以前は、OpenLDAP サーバーはネットワークセキュリティー設定(NSS)コードの誤った処理を使用していました。そのため、設定が適用されず、olcTLSProtocolMin などの特定の NSS オプションが正しく機能しませんでした。この更新によりバグに対処するため、影響を受ける NSS オプションが期待どおりに機能するようになりました。(BZ#1249092)

不正な HTTP リクエストが原因で IPA レプリカのインストールが失敗しなくなりました

以前は、pki-core のバグにより、PKI は HTTP リクエストを生成し、Host ヘッダーが欠落しているため、IPA レプリカのインストール中に間違った行の区切り文字を使用していました。同時に、httpd の更新により、以前のバージョンで受け入れられていたとしても、このような不正な要求が拒否されました。そのため、IPA レプリカのインストールに失敗していました。pki-core への今回の更新により、HTTP リクエスト生成の問題が修正され、レプリカのインストールが期待どおりに機能するようになりました。(BZ#1403943)
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.