第2章 RHEL 7 から RHEL 8 への IdM クライアントのアップグレード
IdM サーバーとは異なり、IdM クライアントの RHEL 7 から RHEL 8 へのインプレースアップグレードはサポート対象です。
RHEL 8 では、IdM 環境の認証を担当するサービスである System Security Services Daemon (SSSD) から一般的でないオプションおよび未使用の機能が削除されました。これらのオプションを削除する手順については、以下のセクションを参照してください。
2.1. RHEL 8 へのアップグレード後の SSSD 設定の更新
Identity Management (IdM) クライアントを Red Hat Enterprise Linux (RHEL) 7 から RHEL 8 にアップグレードした後、特定の SSSD 設定オプションがサポートされなくなる場合があります。leapp アップグレードアプリケーションは、生成されたアップグレード前レポートで、そのようなオプションに関する詳細を提供する場合があります。
以下の手順では、これらの問題に対処するために SSSD 設定を更新する方法を説明します。
前提条件
- IdM クライアントが RHEL 7 から RHEL 8 にアップグレードしている。
-
/etc/sssd/sssd.confを編集するroot権限がある。
2.1.1. ローカル ID プロバイダーから ファイル ID プロバイダーへの切り替え
以下のエラーが表示される場合は、ローカル ID プロバイダーは ファイル ID プロバイダーに置き換えます。
SSSD Domain "example.com": local provider is no longer supported and the domain will be ignored.
Local provider is no longer supported.手順
ローカルID プロバイダーで取得したユーザーおよびグループは、/etc/passwdと/etc/groupファイルにも含まれていることを確認します。このファイルに存在していると、ファイルプロバイダーがユーザーおよびグループにアクセスできるようになります。ユーザーを作成する必要がある場合は、
useraddコマンドを使用します。UID を指定する必要がある場合は、-uオプションを追加します。[root@client ~]# useradd -u 3001 usernameグループを作成する必要がある場合は、
groupaddコマンドを使用します。GID を指定する必要がある場合は、-gオプションを追加します。[root@client ~]# groupadd -g 5001 groupname
-
テキストエディターで
/etc/sssd/sssd.conf設定ファイルを開きます。 id_provider=localはid_provider=filesに置き換えます。[domain/example.com] id_provider = files ...-
/etc/sssd/sssd.conf設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd
2.1.2. 非推奨のオプションの削除
非推奨のオプションに関する以下のエラーのいずれかが表示される場合は、このようなオプションを /etc/sssd/sssd.conf 設定ファイルからを削除することを推奨します。
SSSD Domain "example.com": option ldap_groups_use_matching_rule_in_chain has no longer any effect Option ldap_groups_use_matching_rule_in_chain was removed and it will be ignored.
SSSD Domain "example.com": option ldap_initgroups_use_matching_rule_in_chain has no longer any effect Option ldap_initgroups_use_matching_rule_in_chain was removed and it will be ignored.
手順
-
テキストエディターで
/etc/sssd/sssd.conf設定ファイルを開きます。 -
ldap_groups_use_matching_rule_in_chainまたはldap_initgroups_use_matching_rule_in_chainオプションが存在する場合は削除します。 -
/etc/sssd/sssd.conf設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd
2.1.3. sudo ルールでのワイルドカードの使用の有効化
以下の警告は、RHEL 8 のデフォルトでワイルドカードが含まれる sudo ルールは機能しないことを示します。これは、ldap_sudo_include_regexp オプションがデフォルトで false に設定されるようになったためです。
SSSD Domain "example.com": sudo rules containing wildcards will stop working.
Default value of ldap_sudo_include_regexp changed from true to false for performance reason.
sudo ルールでワイルドカードを使用して、ワイルドカードの検索を有効化する場合は、ldap_sudo_include_regexp オプションを true に設定してください。
Red Hat では sudo ルールでワイルドカードを使用した検索の利用は推奨していません。
ldap_sudo_include_regexp オプションが true に設定されている場合には、SSSD は sudoHost 属性にワイルドカードが含まれるすべての sudo ルールをダウンロードするため、LDAP 検索パフォーマンスに悪影響があります。
手順
-
テキストエディターで
/etc/sssd/sssd.conf設定ファイルを開きます。 example.comドメインでldap_sudo_include_regexp=trueと設定します。[domain/example.com] ... ldap_sudo_include_regexp = true ...-
/etc/sssd/sssd.conf設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd
