4.12. Identity Management
SSSD が SID リクエストのメモリーキャッシングをサポートするようになりました
この機能拡張により、SSSD は SID 要求のメモリーキャッシングをサポートするようになりました。これには、SID による GID および UID ルックアップと、その逆が含まれます。メモリーキャッシングにより、たとえば、Samba サーバーとの間で大量のファイルをコピーする場合などに、パフォーマンスが向上します。
(JIRA:RHELPLAN-123369)
IdM は、Windows Server 2022 での AD Trust の設定をサポートするようになりました
この機能拡張により、Identity Management (IdM) ドメインと、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストとの間でフォレスト間の信頼を確立できます。
IdM は、ユーザーパスワードの有効期限が切れた後に許可される LDAP バインド数の制限をサポートするようになりました
今回の機能拡張により、Identity Management (IdM) ユーザーのパスワードの有効期限が切れたときに許可される LDAP バインドの数を設定できます。
- -1
- IdM は、ユーザーがパスワードをリセットする必要がある前に、ユーザーに無制限の LDAP バインドを許可します。これはデフォルト値で、以前の動作と一致します。
- 0
- この値は、パスワードの有効期限が切れると、すべての LDAP バインドを無効にします。適用された場合、ユーザーは自分のパスワードをすぐにリセットする必要があります。
- 1-MAXINT
- 有効期限が切れると、入力された値どおりの数のバインドが許可されます。
この値は、グローバルパスワードポリシーとグループポリシーで設定できます。
数はサーバーごとに保存されることに注意してください。
ユーザーが自分のパスワードをリセットするには、現在の期限切れパスワードにバインドする必要があります。ユーザーが有効期限後に許可されるバインドをすべて使い果たした場合、管理者がパスワードをリセットする必要があります。
IdM は、名前検索中に、指定された名前が信頼された AD ドメインのユーザーまたはグループであるかどうかを示すようになりました
今回の更新により、新しい getorigbyusername()
および getorigbygroupname()
呼び出しが、SID ベースのルックアップ用のユーティリティーライブラリーである libsss_nss_idmap
に追加されました。この追加により、Identity Management (IdM) が Active Directory (AD) ドメインと信頼関係にある場合に、ユーザーとグループのルックアップがより堅牢になります。ユーザーまたはグループのルックアップを実行するときに、IdM は、指定された名前が信頼できるドメインのユーザーまたはグループに属しているかどうかを表示できるようになりました。
新しい ipasmartcard_server
および ipasmartcard_client
ロールが追加されました
今回の更新により、ansible-freeipa
パッケージは、スマートカード認証用に Identity Management (IdM) サーバーとクライアントを設定するための Ansible ロールを提供します。ipasmartcard_server
および ipasmartcard_client
ロールは、統合を自動化および簡素化するために ipa-
advise スクリプトを置き換えます。他の ansible-freeipa
ロールと同じインベントリーと命名スキームが使用されます。
samba
がバージョン 4.16.1 にリベースされました。
samba
パッケージがアップストリームバージョン 4.16.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が追加されました。
-
デフォルトでは、
smbd
プロセスは新しいsamba-dcerpcd
プロセスをオンデマンドで自動的に開始し、分散コンピューティング環境/リモートプロシージャコール (DCERPC) を提供します。Samba 4.16 以降では、DCERPC を使用するために必ずsamba-dcerpcd
が必要であることに注意してください。/etc/samba/smb.conf
ファイルの[global]
セクションでrpc start on demand helpers
設定を無効にする場合、スタンドアロンモードでsamba-dcerpcd
を実行するsystemd
サービスユニットを作成する必要があります。 Cluster Trivial Database (CTDB) の
recovery master
のロール名が、leader
に変更されました。その結果、次のとおりctdb
サブコマンドの名前が変更されました。-
recmaster
からleader
に変更 -
setrecmasterrole
からsetleaderrole
に変更
-
-
CTDB
recovery lock
設定の名前がcluster lock
に変更されました。 - CTDB は、リーダーブロードキャストと関連するタイムアウトを使用して、選択が必要かどうかを判断するようになりました。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd
、nmbd
、またはwinbind
サービスが起動すると、Samba が tdb
データベースファイルを自動的に更新します。Red Hat は、tdb
データベースファイルのダウングレードをサポートしていないことに留意してください。
Samba を更新したら、testparm
ユーティリティーを使用して /etc/samba/smb.conf
ファイルを確認します。
更新する前に、upstream release notes で重要な変更の詳細を確認してください。
SSSD が Windows Server 2022 との直接統合をサポートするようになりました
この機能拡張により、SSSD を使用して、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストと RHEL システムを直接統合できます。
Directory Server が Auto Membership プラグインタスクのキャンセルに対応
以前は、ディレクトリーサーバーの設定が複雑な場合 (大規模なグループ、複雑なルール、他のプラグインとの対話など)、Auto Membership プラグインタスクが原因でサーバーの CPU 使用率が高くなる可能性がありました。この機能強化により、Auto Membership プラグインタスクをキャンセルできます。その結果、パフォーマンスの問題は発生しなくなりました。
Directory Server は、ldapdelete
使用時に再帰的な削除操作をサポートするようになりました
この機能拡張により、Directory Server が Tree Delete Control [1.2.840.113556.1.4.805]
OpenLDAP コントロールをサポートするようになりました。その結果、ldapdelete
ユーティリティーを使用して、親エントリーのサブエントリーを再帰的に削除できます。
Directory Server インストール時における基本的な複製オプションの設定に対応
この機能強化により、インスタンスのインストール時に .inf
ファイルを使用して、認証情報や変更履歴のトリミングなどの基本的なレプリケーションオプションを設定することができるようになりました。
Directory Server でレプリケーション changelog のトリミングがデフォルトで有効化
以前は、Directory Server はデフォルトでレプリケーション changelog
ファイルを自動的にトリミングするように設定されていませんでした。その結果、changelog
ファイルが非常に大きくなる可能性があります。今回の更新により、Directory Server はデフォルトで 7 日より古い変更ログエントリーをトリミングするように設定され、changelog
ファイルが過度に大きくなるのを防ぎます。
pki
パッケージの名前を idm-pki
に変更
以下の pki
パッケージの名前が idm-pki
に変更され、IDM パッケージと Red Hat Certificate System パッケージを区別しやすくなりました。
-
idm-pki-symkey
-
idm-pki-tools
-
idm-pki-symkey-debuginfo
-
idm-pki-tools-debuginfo
-
idm-pki-acme
-
idm-pki-base
-
idm-pki-base-java
-
idm-pki-ca
-
idm-pki-kra
-
idm-pki-server
-
python3-idm-pki
pki-core
は変更されません (これには pki-core-debuginfo
と pki-core-debugsource
も含まれます)。