検索
サポートコンソール開発者トライアルの開始お問い合わせ

4.11. Identity Management

download PDF

Identity Management ユーザーは、外部アイデンティティープロバイダーを使用して IdM に認証できるようになる

この機能拡張により、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認証フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができるようになりました。このような IdP の例としては、Red Hat build of Keycloak、Azure Entra ID、Github、Google、Facebook などがあります。

IdM に IdP 参照と関連付けられた IdP ユーザー ID が存在する場合は、それらを使用して IdM ユーザーが外部 IdP で認証できるようにすることができます。外部 IdP で認証と認可を実行した後、IdM ユーザーはシングルサインオン機能を備えた Kerberos チケットを受け取ります。ユーザーは、RHEL 8.7 以降で使用可能な SSSD バージョンで認証する必要があります。

Jira:RHELPLAN-123140[1]

ipa がバージョン 4.9.13 にリベース

ipa パッケージがバージョン 4.9.12 から 4.9.13 に更新されました。主な変更点は、以下のとおりです。

  • IdM レプリカのインストールが、Kerberos 認証だけでなく、すべての IPA API および CA 要求に関しても、選択したサーバーに対して実行されるようになりました。
  • 証明書の数が多い場合の cert-find コマンドのパフォーマンスが大幅に向上しました。
  • ansible-freeipa パッケージが、バージョン 1.11 から 1.12.1 にリベースされました。

詳細は、アップストリームのリリースノート を参照してください。

Jira:RHEL-16936

期限切れの KCM Kerberos チケットの削除

以前は、Kerberos Credential Manager (KCM) に新しい認証情報を追加しようとした際にすでにストレージ領域の上限に達していた場合、新しい認証情報は拒否されていました。ユーザーのストレージ領域は、max_uid_ccaches 設定オプション (デフォルト値は 64) によって制限されます。この更新により、ストレージ領域の上限にすでに達している場合は、最も古い期限切れの認証情報が削除され、新しい認証情報が KCM に追加されます。期限切れの認証情報がない場合、操作は失敗し、エラーが返されます。この問題を防ぐには、kdestroy コマンドを使用して認証情報を削除し、領域を解放します。

Jira:SSSD-6216

ローカルユーザー向けの bcrypt パスワードハッシュアルゴリズムのサポート

この更新により、ローカルユーザーに対して bcrypt パスワードハッシュアルゴリズムを有効にできるようになります。bcrypt ハッシュアルゴリズムに切り替えるには、以下を行います。

  1. pam_unix.so sha512 設定を pam_unix.so blowfish に変更して、/etc/authselect/system-auth および /etc/authselect/password-auth ファイルを編集します。

  2. 変更を適用します。 

    # authselect apply-changes
  3. passwd コマンドを使用してユーザーのパスワードを変更します。
  4. /etc/shadow ファイルで、ハッシュアルゴリズムが $2b$ に設定されていることを確認します。これは、bcrypt パスワードハッシュアルゴリズムが使用されていることを示します。

Jira:SSSD-6790

idp Ansible モジュールを使用すると、IdM ユーザーを外部 IdP に関連付けることができます

この更新により、idp ansible-freeipa モジュールを使用して、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認可フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができます。IdM に IdP 参照および関連付けられた IdP ユーザー ID が存在する場合は、それらを使用して IdM ユーザーの IdP 認証を有効にすることができます。 

外部 IdP で認証と認可を実行した後、IdM ユーザーはシングルサインオン機能を備えた Kerberos チケットを受け取ります。ユーザーは、RHEL 8.7 以降で使用可能な SSSD バージョンで認証する必要があります。

Jira:RHEL-16938

IdM は Ansible モジュール idoverrideuseridoverridegroupidview をサポートするようになりました

この更新により、ansible-freeipa パッケージに次のモジュールが含まれるようになりました。

idoverrideuser
Identity Management (IdM) LDAP サーバーに保存されているユーザーのユーザー属性 (ユーザーのログイン名、ホームディレクトリー、証明書、SSH キーなど) をオーバーライドできます。
idoverridegroup
IdM LDAP サーバーに保存されているグループの属性 (グループ名、GID、説明など) をオーバーライドできます。
idview
ユーザーおよびグループ ID のオーバーライドを整理し、特定の IdM ホストに適用できます。

将来的には、これらのモジュールを使用して、AD ユーザーがスマートカードを使用して IdM にログインできるようになります。

Jira:RHEL-16933

ansible-freeipa で DNS ゾーン管理の移譲が有効になる

dnszone ansible-freeipa モジュールを使用して、DNS ゾーン管理を委譲できるようになりました。dnszone モジュールの permission または managedby 変数を使用して、ゾーンごとのアクセス委譲権限を設定します。

Jira:RHEL-19133

ansible-freeipa ipauser および ipagroup モジュールが、新しい renamed 状態をサポートするようになる

この更新により、ansible-freeipa ipauser モジュールの renamed 状態を使用して、既存の IdM ユーザーのユーザー名を変更できるようになりました。また、ansible-freeipa ipagroup モジュールでこの状態を使用して、既存の IdM グループのグループ名を変更することもできます。

Jira:RHEL-4963

runasuser_group パラメーターが ansible-freeipa ipasudorule で利用できるようになる

この更新では、ansible-freeipa ipasudorule モジュールを使用して、sudo ルールの RunAs ユーザーのグループを設定できるようになりました。このオプションは、Identity Management (IdM) コマンドラインインターフェイスと IdM Web UI ですでに利用可能です。

Jira:RHEL-19129

389-ds-base がバージョン 1.4.3.39 にリベース

389-ds-base パッケージがバージョン 1.4.3.39 に更新されました。

Jira:RHEL-19028

HAProxy プロトコルが 389-ds-base パッケージでサポートされるようになりました

以前は、Directory Server はプロキシークライアントと非プロキシークライアント間の着信接続を区別していませんでした。この更新により、新しい多値設定属性 nsslapd-haproxy-trusted-ip を使用して、信頼できるプロキシーサーバーのリストを設定できるようになりました。cn=config エントリーの下に nsslapd-haproxy-trusted-ip が設定されている場合、Directory Server は HAProxy プロトコルを使用して追加の TCP ヘッダー経由でクライアント IP アドレスを受信します。これにより、アクセス制御命令 (ACI) を正しく評価し、クライアントトラフィックをログに記録できるようになります。

信頼されていないプロキシーサーバーがバインド要求を開始した場合、Directory Server は要求を拒否し、エラーログファイルに次のメッセージを記録します。 

[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4

Jira:RHEL-19240

samba がバージョン 4.19.4 にリベース

samba パッケージはアップストリームバージョン 4.19.4 にアップグレードされ、以前のバージョンに対するバグ修正と機能拡張が提供されています。主な変更点は以下のとおりです。

  • 一貫したユーザーエクスペリエンスを実現するために、smbget ユーティリティーのコマンドラインオプションは名前が変更され、削除されました。ただし、これにより、ユーティリティーを使用する既存のスクリプトまたはジョブが破損する可能性があります。新しいオプションの詳細は、smbget --help コマンドと smbget(1) の man ページを参照してください。

  • winbind debug traceid オプションが有効になっている場合、winbind サービスは次のフィールドもログに記録するようになりました。

    • traceid: 同じリクエストに属するレコードを追跡します。
    • depth: リクエストのネストレベルを追跡します。
  • Samba は独自の暗号化実装を使用しなくなり、代わりに GnuTLS ライブラリーが提供する暗号化機能を全面的に使用するようになりました。
  • directory name cache size オプションが削除されました。

Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。

Samba を起動する前にデータベースファイルがバックアップされます。smbdnmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。

Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。

Jira:RHEL-16483[1]

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.