4.10. Identity Management
samba がバージョン 4.18.4 にリベース
samba パッケージはアップストリームバージョン 4.18.4 にアップグレードされ、以前のバージョンに対するバグ修正と拡張機能が提供されています。最も注目すべき変更点:
- 以前のリリースでのセキュリティーの向上は、メタデータの高いワークロードの Server Message Block (SMB) サーバーのパフォーマンスに影響を与えました。この更新により、このシナリオでのパフォーマンスが向上します。
-
新しい
wbinfo --change-secret-at=<domain_controller>コマンドは、指定されたドメインコントローラーの信頼アカウントのパスワードの変更を強制します。 -
デフォルトでは、Samba はアクセス制御リスト (ACL) をファイルの
security.NTACL拡張属性に保存します。/etc/samba/smb.confファイルのacl_xattr:<security_acl_name>設定を使用して属性名をカスタマイズできるようになりました。カスタム拡張属性名は、security.NTACLのように保護された場所ではないことに注意してください。その結果、サーバーにローカルにアクセスできるユーザーはカスタム属性のコンテンツを変更し、ACL を侵害する可能性があります。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
ipa がバージョン 4.9.12 にリベース
ipa パッケージがバージョン 4.9.12 にアップグレードされました。詳細は、アップストリームの FreeIPA のリリースノート を参照してください。
複数の IdM グループとサービスを単一の Ansible タスクで管理できるようになる
ansible-freeipa のこの機能拡張により、単一の Ansible タスクを使用して、複数の Identity Management (IdM) ユーザーグループとサービスを追加、変更、削除できるようになりました。そのためには、ipagroup モジュールと ipaservice モジュールの groups と services オプションを使用します。
ipagroup で使用できる groups オプションを使用すると、特定のグループにのみ適用される複数のグループ変数を指定できます。このグループは、name 変数によって定義されます。これは、groups オプションの唯一の必須変数です。
同様に、ipaservice で使用できる services オプションを使用すると、特定のサービスにのみ適用される複数のサービス変数を指定できます。このサービスは、name 変数によって定義されます。これは、services オプションの唯一の必須変数です。
Jira:RHELDOCS-16474[1]
ansible-freeipa ipaserver ロールが Random Serial Numbers をサポートするようになる
この更新により、ansible-freeipa ipaserver ロールで ipaserver_random_serial_numbers=true オプションを使用できるようになりました。このようにして、Ansible を使用して Identity Management (IdM) サーバーをインストールするときに、PKI で証明書とリクエストの完全にランダムなシリアル番号を生成できます。RSNv3 を使用すると、大規模な IdM インストールでの範囲管理を回避し、IdM を再インストールする際の一般的な競合を防ぐことができます。
RSNv3 は、新しい IdM インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。
Jira:RHELDOCS-16462[1]
ipaserver_remove_on_server オプションと ipaserver_ignore_topology_disconnect オプションが、ipaserver ロールで利用できるようになりました。
ipaserver ansible-freeipa ロールの remove_server_from_domain オプションを使用して、Identity Management (IdM) トポロジーからレプリカを削除すると、トポロジーが切断されます。ここで、ドメインの保持したい部分を指定する必要があります。具体的には、次のことを行う必要があります。
-
ipaserver_remove_on_server値を指定して、トポロジーのどの部分を保持するかを指定します。 -
ipaserver_ignore_topology_disconnectを True に設定します。
remove_server_from_domain オプションを使用して IdM からレプリカを削除した場合に、接続されたトポロジーが保持される場合は、これらのオプションはどちらも必要ないことに注意してください。
ipaclient ロールにより、IdM レベルでユーザーの subID 範囲を設定できるようになる
この更新により、ipaclient ロールには ipaclient_subid オプションが提供され、これを使用して Identity Management (IdM) レベルで subID 範囲を設定できるようになりました。新しいオプションを明示的に true に設定しないと、ipaclient ロールはデフォルトの動作を維持し、IdM ユーザーに設定された subID 範囲なしでクライアントをインストールします。
以前は、このロールは sssd authselect プロファイルを設定し、それによって /etc/nsswitch.conf ファイルがカスタマイズされていました。subID データベースは IdM を使用せず、/etc/subuid および /etc/subgid のローカルファイルのみに依存しました。
ipacert Ansible モジュールを使用して IdM 証明書を管理できるようになる
ansible-freeipa ipacert モジュールを使用して、Identity Management (IdM) ユーザー、ホスト、およびサービスの SSL 証明書をリクエストまたは取得できるようになりました。ユーザー、ホスト、およびサービスは、これらの証明書を使用して IdM に対する認証を行うことができます。証明書を取り消したり、保留された証明書を復元したりすることもできます。
MIT Kerberos が拡張 KDC MS-PAC 署名をサポートするようになる
この更新により、Red Hat が使用する MIT Kerberos は、最近の CVE に対応して Microsoft が導入した、2 種類の特権属性証明書 (PAC) 署名のうち 1 種類のサポートを実装します。具体的には、RHEL 8 の MIT Kerberos は、KB5020805 でリリースされ、CVE-2022-37967 に対処する拡張 KDC 署名をサポートします。
ABI の安定性の制約 のため、RHEL8 上の MIT Kerberos は、他の PAC 署名タイプ、つまり KB4598347 で定義されているチケット署名をサポートできないことに注意してください。
この機能拡張に関連する問題のトラブルシューティングについては、以下のナレッジベースの記事を参照してください。
- RHEL-8.9 IdM update, web UI and CLI 401 Unauthorized with KDC S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC - user and group objects need SIDs
- find_sid_for_ldap_entry - [file ipa_sidgen_cofind_sid_for_ldap_entry - [file ipa_sidgen_common.c, line 521]: Cannot convert Posix ID [120000023l] into an unused SID]
- When upgrading to RHEL9, IDM users are not able to login anymore
- POSIX IDs, SIDs and IDRanges in IPA
BZ#2211387 および BZ#2176406 も参照してください。
RHEL 8.9 は 389-ds-base 1.4.3.37 を提供する
RHEL 8.9 は、389-ds-base パッケージのバージョン 1.4.3.37 とともに配布されます。
新しい passwordAdminSkipInfoUpdate: on/off 設定オプションが利用可能になる
新しい passwordAdminSkipInfoUpdate: on/off 設定を cn=config エントリーに追加すると、パスワード管理者が実行するパスワード更新をきめ細かく制御できます。この設定を有効にすると、パスワードの更新では、passwordHistory、passwordExpirationTime、passwordRetryCount、pwdReset、および passwdExpWarned などの特定の属性は更新されません。
