Red Hat Summit4.11. Identity Management
Identity Management ユーザーは、外部アイデンティティープロバイダーを使用して IdM に認証できるようになる
この機能拡張により、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認証フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができるようになりました。このような IdP の例としては、Red Hat build of Keycloak、Microsoft Entra ID (旧 Azure Active Directory)、GitHub、Google などがあります。
IdM に IdP 参照と関連付けられた IdP ユーザー ID が存在する場合は、それらを使用して IdM ユーザーが外部 IdP で認証できるようにすることができます。外部 IdP で認証と認可を実行した後、IdM ユーザーはシングルサインオン機能を備えた Kerberos チケットを受け取ります。ユーザーは、RHEL 8.7 以降で使用可能な SSSD バージョンで認証する必要があります。
Jira:RHELPLAN-123140[1]
ipa がバージョン 4.9.13 にリベース
ipa パッケージがバージョン 4.9.12 から 4.9.13 に更新されました。主な変更点は、以下のとおりです。
- IdM レプリカのインストールが、Kerberos 認証だけでなく、すべての IPA API および CA 要求に関しても、選択したサーバーに対して実行されるようになりました。
-
証明書の数が多い場合の
cert-findコマンドのパフォーマンスが大幅に向上しました。 -
ansible-freeipaパッケージが、バージョン 1.11 から 1.12.1 にリベースされました。
詳細は、アップストリームのリリースノート を参照してください。
期限切れの KCM Kerberos チケットの削除
以前は、Kerberos Credential Manager (KCM) に新しい認証情報を追加しようとした際にすでにストレージ領域の上限に達していた場合、新しい認証情報は拒否されていました。ユーザーのストレージ領域は、max_uid_ccaches 設定オプション (デフォルト値は 64) によって制限されます。この更新により、ストレージ領域の上限にすでに達している場合は、最も古い期限切れの認証情報が削除され、新しい認証情報が KCM に追加されます。期限切れの認証情報がない場合、操作は失敗し、エラーが返されます。この問題を防ぐには、kdestroy コマンドを使用して認証情報を削除し、領域を解放します。
ローカルユーザー向けの bcrypt パスワードハッシュアルゴリズムのサポート
この更新により、ローカルユーザーに対して bcrypt パスワードハッシュアルゴリズムを有効にできるようになります。bcrypt ハッシュアルゴリズムに切り替えるには、以下を行います。
-
pam_unix.so sha512設定をpam_unix.so blowfishに変更して、/etc/authselect/system-authおよび/etc/authselect/password-authファイルを編集します。 変更を適用します。
authselect apply-changes
# authselect apply-changesCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
passwdコマンドを使用してユーザーのパスワードを変更します。 -
/etc/shadowファイルで、ハッシュアルゴリズムが$2b$に設定されていることを確認します。これは、bcryptパスワードハッシュアルゴリズムが使用されていることを示します。
idp Ansible モジュールを使用すると、IdM ユーザーを外部 IdP に関連付けることができます
この更新により、idp ansible-freeipa モジュールを使用して、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認可フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができます。IdM に IdP 参照および関連付けられた IdP ユーザー ID が存在する場合は、それらを使用して IdM ユーザーの IdP 認証を有効にすることができます。
外部 IdP で認証と認可を実行した後、IdM ユーザーはシングルサインオン機能を備えた Kerberos チケットを受け取ります。ユーザーは、RHEL 8.7 以降で使用可能な SSSD バージョンで認証する必要があります。
IdM は Ansible モジュール idoverrideuser、idoverridegroup、idview をサポートするようになりました
この更新により、ansible-freeipa パッケージに次のモジュールが含まれるようになりました。
idoverrideuser- Identity Management (IdM) LDAP サーバーに保存されているユーザーのユーザー属性 (ユーザーのログイン名、ホームディレクトリー、証明書、SSH キーなど) をオーバーライドできます。
idoverridegroup- IdM LDAP サーバーに保存されているグループの属性 (グループ名、GID、説明など) をオーバーライドできます。
idview- ユーザーおよびグループ ID のオーバーライドを整理し、特定の IdM ホストに適用できます。
将来的には、これらのモジュールを使用して、AD ユーザーがスマートカードを使用して IdM にログインできるようになります。
ansible-freeipa で DNS ゾーン管理の移譲が有効になる
dnszone ansible-freeipa モジュールを使用して、DNS ゾーン管理を委譲できるようになりました。dnszone モジュールの permission または managedby 変数を使用して、ゾーンごとのアクセス委譲権限を設定します。
ansible-freeipa ipauser および ipagroup モジュールが、新しい renamed 状態をサポートするようになる
この更新により、ansible-freeipa ipauser モジュールの renamed 状態を使用して、既存の IdM ユーザーのユーザー名を変更できるようになりました。また、ansible-freeipa ipagroup モジュールでこの状態を使用して、既存の IdM グループのグループ名を変更することもできます。
runasuser_group パラメーターが ansible-freeipa ipasudorule で利用できるようになる
この更新では、ansible-freeipa ipasudorule モジュールを使用して、sudo ルールの RunAs ユーザーのグループを設定できるようになりました。このオプションは、Identity Management (IdM) コマンドラインインターフェイスと IdM Web UI ですでに利用可能です。
389-ds-base がバージョン 1.4.3.39 にリベース
389-ds-base パッケージがバージョン 1.4.3.39 に更新されました。
HAProxy プロトコルが 389-ds-base パッケージでサポートされるようになりました
以前は、Directory Server はプロキシークライアントと非プロキシークライアント間の着信接続を区別していませんでした。この更新により、新しい多値設定属性 nsslapd-haproxy-trusted-ip を使用して、信頼できるプロキシーサーバーのリストを設定できるようになりました。cn=config エントリーの下に nsslapd-haproxy-trusted-ip が設定されている場合、Directory Server は HAProxy プロトコルを使用して追加の TCP ヘッダー経由でクライアント IP アドレスを受信します。これにより、アクセス制御命令 (ACI) を正しく評価し、クライアントトラフィックをログに記録できるようになります。
信頼されていないプロキシーサーバーがバインド要求を開始した場合、Directory Server は要求を拒否し、エラーログファイルに次のメッセージを記録します。
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4samba がバージョン 4.19.4 にリベース
samba パッケージはアップストリームバージョン 4.19.4 にアップグレードされ、以前のバージョンに対するバグ修正と機能拡張が提供されています。主な変更点は以下のとおりです。
-
一貫したユーザーエクスペリエンスを実現するために、
smbgetユーティリティーのコマンドラインオプションは名前が変更され、削除されました。ただし、これにより、ユーティリティーを使用する既存のスクリプトまたはジョブが破損する可能性があります。新しいオプションの詳細は、smbget --helpコマンドとsmbget(1)の man ページを参照してください。 winbind debug traceidオプションが有効になっている場合、winbindサービスは次のフィールドもログに記録するようになりました。-
traceid: 同じリクエストに属するレコードを追跡します。 -
depth: リクエストのネストレベルを追跡します。
-
- Samba は独自の暗号化実装を使用しなくなり、代わりに GnuTLS ライブラリーが提供する暗号化機能を全面的に使用するようになりました。
-
directory name cache sizeオプションが削除されました。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
Jira:RHEL-16483[1]
新しい SSSD オプション: exop_force
exop_force オプションを使用すると、猶予ログインが残っていない場合でもパスワードの変更を強制できます。以前は、LDAP サーバーが猶予ログインが残っていないことを示した場合、SSSD はパスワードの変更を試行しませんでした。現在は、sssd.conf ファイルの [domain/…] セクションで ldap_pwmodify_mode = exop_force を設定すると、SSSD は猶予ログインが残っていなくてもパスワードの変更を試みます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}