10.13. Identity Management
openssh-ldap
が非推奨に
openssh-ldap
サブパッケージは、Red Hat Enterprise Linux 8 で非推奨になり、RHEL 9 で削除されます。openssh-ldap
サブパッケージはアップストリームでは維持されないため、Red Hat は SSSD と sss_ssh_authorizedkeys
ヘルパーを使用することを推奨しています。これは、他の IdM ソリューションよりも適切に統合でき、安全です。
デフォルトでは、ldap
および ipa
プロバイダーはユーザーオブジェクトの sshPublicKey
LDAP 属性を読み取ります (利用可能な場合)。AD (Active Directory) には公開鍵を保存するためのデフォルトの LDAP 属性がないため、ad
プロバイダーまたは IdM の信頼されるドメインのデフォルト SSSD 設定を使用して AD から SSH 公開鍵を取得することはできません。
sss_ssh_authorizedkeys
ヘルパーが SSSD から鍵を取得できるようにするには、sssd.conf
ファイルの services
オプションに ssh
を追加して ssh
レスポンダーを有効にします。詳細は man ページの sssd.conf(5)
を参照してください。
sshd
が sss_ssh_authorizedkeys
を使用できるようにするには、man ページの sss_ssh_authorizedkeys(1)
に記載されているように、AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
および AuthorizedKeysCommandUser nobody
オプションを /etc/ssh/sshd_config
ファイルに追加します。
DES および 3DES 暗号化タイプが削除されました。
RHEL 7 以降、セキュリティー上の理由から、データ暗号化標準 (DES) アルゴリズムが非推奨になり、デフォルトで無効化になりました。Kerberos パッケージの最近のリベースで、RHEL 8 からシングル DES (DES) およびトリプル DES (3DES) の暗号化タイプが削除されました。
DES または 3DES の暗号化のみを使用するようにサービスまたはユーザーが設定されている場合、以下のようなサービスの中断が発生する可能性があります。
- Kerberos 認証エラー
-
unknown enctype
暗号化エラー -
DES で暗号化されたデータベースマスターキー (
K/M
) を使用した KDC (Kerberos Distribution Center) が起動しない
アップグレードを準備するには、以下の操作を実施します。
-
KDC が
krb5check
オープンソース Python スクリプトで DES または 3DES 暗号化を使用しているかどうかを確認します。GitHub の krb5check を参照してください。 - Kerberos プリンシパルで DES または 3DES 暗号化を使用している場合は、Advanced Encryption Standard (AES) などのサポート対象の暗号化タイプでキーを変更します。キー変更の手順については、MIT Kerberos ドキュメントの Retiring DES を参照してください。
アップグレードの前に以下の Kerberos オプションを一時的に設定して、DES および 3DES からの独立性をテストします。
-
KDC の
/var/kerberos/krb5kdc/kdc.conf
で、supported_enctypes
を設定し、des
またはdes3
は含まれません。 -
すべてのホストについて、
/etc/krb5.conf
および/etc/krb5.conf.d
のすべてのファイルで、allow_weak_crypto
をfalse
に設定します。デフォルトは false です。 -
すべてのホストについて、
/etc/krb5.conf
および/etc/krb5.conf.d
のすべてのファイルで、permitted_enctypes
、default_tgs_enctypes
、default_tkt_enctypes
を設定します。また、des
またはdes3
は含めません。
-
KDC の
- 前の手順で Kerberos 設定をテストしてサービスが中断されない場合は、サービスを削除してアップグレードします。最新の Kerberos パッケージにアップグレードした後は、この設定は必要ありません。
SSSD バージョンの libwbclient
が削除される
libwbclient
パッケージの SSSD 実装は、RHEL 8.4 で非推奨になりました。最新バージョンの Samba で使用できないため、 libwbclient
の SSSD 実装 が削除されています。
ctdb
サービスのスタンドアロン使用が非推奨になりました。
RHEL 8.4 以降、以下の条件がすべて適用されている場合に限り、ctdb
クラスター Samba サービスを使用することが推奨されます。
-
ctdb
サービスは、resource-agentctdb
を使用してpacemaker
リソースとして管理されます。 -
ctdb
サービスは、Red Hat Gluster Storage 製品または GFS2 ファイルシステムが提供する GlusterFS ファイルシステムのいずれかが含まれるストレージボリュームを使用します。
ctdb
サービスのスタンドアロンユースケースは非推奨となり、Red Hat Enterprise Linux の次期メジャーリリースには含まれません。Samba のサポートポリシーの詳細は、ナレッジベースの記事 Support Policies for RHEL Resilient Storage - ctdb General Policies を参照してください。
Bugzilla:1916296
WinSync による IdM との間接的な AD 統合が非推奨に
WinSync は、さまざまな機能制限のため、RHEL 8 では積極的に開発されなくなりました。
- WinSync は、1 つの Active Directory (AD) ドメインのみをサポートします。
- パスワードの同期には、AD ドメインコントローラーに追加のソフトウェアをインストールする必要があります。
リソースとセキュリティーの分離を強化したより強固なソリューションとして、レッドハットは Active Directory との間接的な統合にフォレスト間の信頼を使用することを推奨しています。間接的な統合 のドキュメントを参照してください。
Jira:RHELPLAN-100400
SSSD 暗黙的なファイルプロバイダードメインが、デフォルトで無効化される
/etc/sssd/sssd.conf
設定ファイルの enable_files_domain
設定のデフォルト値が true
から false
に変更されました。これは、ローカルファイル /etc/passwd
および /etc/group
からユーザーおよびグループ情報を取得する SSSD 暗黙的 files
プロバイダードメインがデフォルトで無効になったことを意味します。
SSSD の代わりに、デフォルトの glibc
files
モジュールがローカルユーザーにサービスを提供します。sssd.conf
ファイルでドメインを定義していない限り、SSSD は自動的に起動しません。
SSSD files
プロバイダーの実装は、ローカルユーザーのスマートカード認証など、特定のユースケースの明示的な設定に引き続き使用できます。
Jira:RHELPLAN-139456
Samba を PDC または BDC として実行することは非推奨になりました。
管理者が Samba を NT4 のようなプライマリードメインコントローラー (PDC) として実行し、バックアップドメインコントローラー (BDC) を実行できるようにする従来のドメインコントローラーモードが非推奨になりました。これらのモードを設定するためのコードおよび設定は、今後の Samba リリースで削除されます。
RHEL 8 の Samba バージョンが PDC モードおよび BDC モードを提供している限り、Red Hat は、NT4 ドメインに対応する Windows バージョンを使用する既存のインストールでのみ、これらのモードをサポートします。Red Hat は、新規の Samba NT4 ドメインのセットアップを推奨しません。なぜなら、Microsoft のオペレーティングシステム (Windows 7 以降) および Windows Server 2008 R2 は、NT4 ドメインをサポートしないからです。
PDC を使用して Linux ユーザーのみを認証する場合、Red Hat は、RHEL サブスクリプションに含まれる Red Hat Identity Management (IdM) への移行を推奨します。ただし、Windows システムを IdM ドメインに参加させることはできません。Red Hat は、引き続き IdM が使用する PDC 機能のサポートを継続することに注意してください。
Red Hat は、Samba を AD ドメインコントローラー (DC) として実行することはサポートしていません。
Samba で SMB1 プロトコルが非推奨になりました
Samba 4.11 以降、安全でない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。
セキュリティーを向上させるために、デフォルトでは、Samba サーバーおよびクライアントユーティリティーで SMB1 が無効になっています。
Jira:RHELDOCS-16612
FreeRADIUS のサポートは限定的です
RHEL 8 では、FreeRADIUS サービスの一部として、次の外部認証モジュールが非推奨になりました。
- MySQL、PostgreSQL、SQlite、および unixODBC データベースコネクター
-
Perl
言語モジュール - REST API モジュール
ベースパッケージの一部として提供される PAM 認証モジュールおよびその他の認証モジュールは影響を受けません。
非推奨になったモジュールの代替は、Fedora プロジェクトなどのコミュニティーでサポートされているパッケージで見つけることができます。
さらに、freeradius
パッケージのサポート範囲は、将来の RHEL リリースでは次のユースケースに限定されます。
-
FreeRADIUS をワイヤレス認証プロバイダーとして使用し、Identity Management (IdM) を認証のバックエンドソースとして使用している場合。認証は、
krb5
および LDAP 認証パッケージを使用して、またはメインの FreeRADIUS パッケージの PAM 認証として行われます。 - FreeRADIUS を使用して、Python 3 認証パッケージで IdM の認証用に信頼できる情報源を提供している場合。
これらの非推奨化とは対照的に、Red Hat は FreeRADIUS による次の外部認証モジュールのサポートを強化します。
-
krb5
および LDAP に基づく認証 -
Python 3
認証
これらのインテグレーションオプションに重点を置くことは、Red Hat IdM の戦略的方向性に一致します。
Jira:RHELDOCS-17573