第2章 RHEL 7 から RHEL 8 への IdM クライアントのアップグレード
IdM サーバーとは異なり、IdM クライアントの RHEL 7 から RHEL 8 へのインプレースアップグレードはサポート対象です。
RHEL 8 では、IdM 環境の認証を担当するサービスである System Security Services Daemon (SSSD) から一般的でないオプションおよび未使用の機能が削除されました。これらのオプションを削除する手順については、以下のセクションを参照してください。
2.1. RHEL 8 へのアップグレード後の SSSD 設定の更新
Identity Management (IdM) クライアントを Red Hat Enterprise Linux (RHEL) 7 から RHEL 8 にアップグレードした後、特定の SSSD 設定オプションがサポートされなくなる場合があります。leapp
アップグレードアプリケーションは、生成されたアップグレード前レポートで、そのようなオプションに関する詳細を提供する場合があります。
以下の手順では、これらの問題に対処するために SSSD 設定を更新する方法を説明します。
前提条件
- IdM クライアントが RHEL 7 から RHEL 8 にアップグレードしている。
-
/etc/sssd/sssd.conf
を編集するroot
権限がある。
2.1.1. ローカル
ID プロバイダーから ファイル
ID プロバイダーへの切り替え
以下のエラーが表示される場合は、ローカル
ID プロバイダーは ファイル
ID プロバイダーに置き換えます。
SSSD Domain "example.com": local provider is no longer supported and the domain will be ignored.
Local provider is no longer supported.
手順
ローカル
ID プロバイダーで取得したユーザーおよびグループは、/etc/passwd
と/etc/group
ファイルにも含まれていることを確認します。このファイルに存在していると、ファイル
プロバイダーがユーザーおよびグループにアクセスできるようになります。ユーザーを作成する必要がある場合は、
useradd
コマンドを使用します。UID を指定する必要がある場合は、-u
オプションを追加します。[root@client ~]# useradd -u 3001 username
グループを作成する必要がある場合は、
groupadd
コマンドを使用します。GID を指定する必要がある場合は、-g
オプションを追加します。[root@client ~]# groupadd -g 5001 groupname
-
テキストエディターで
/etc/sssd/sssd.conf
設定ファイルを開きます。 id_provider=local
はid_provider=files
に置き換えます。[domain/example.com] id_provider = files ...
-
/etc/sssd/sssd.conf
設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd
2.1.2. 非推奨のオプションの削除
非推奨のオプションに関する以下のエラーのいずれかが表示される場合は、このようなオプションを /etc/sssd/sssd.conf
設定ファイルからを削除することを推奨します。
SSSD Domain "example.com": option ldap_groups_use_matching_rule_in_chain has no longer any effect Option ldap_groups_use_matching_rule_in_chain was removed and it will be ignored.
SSSD Domain "example.com": option ldap_initgroups_use_matching_rule_in_chain has no longer any effect Option ldap_initgroups_use_matching_rule_in_chain was removed and it will be ignored.
手順
-
テキストエディターで
/etc/sssd/sssd.conf
設定ファイルを開きます。 -
ldap_groups_use_matching_rule_in_chain
またはldap_initgroups_use_matching_rule_in_chain
オプションが存在する場合は削除します。 -
/etc/sssd/sssd.conf
設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd
2.1.3. sudo ルールでのワイルドカードの使用の有効化
以下の警告は、RHEL 8 のデフォルトでワイルドカードが含まれる sudo
ルールは機能しないことを示します。これは、ldap_sudo_include_regexp
オプションがデフォルトで false
に設定されるようになったためです。
SSSD Domain "example.com": sudo rules containing wildcards will stop working.
Default value of ldap_sudo_include_regexp changed from true to false for performance reason.
sudo
ルールでワイルドカードを使用して、ワイルドカードの検索を有効化する場合は、ldap_sudo_include_regexp
オプションを true
に設定してください。
Red Hat では sudo
ルールでワイルドカードを使用した検索の利用は推奨していません。
ldap_sudo_include_regexp
オプションが true
に設定されている場合には、SSSD は sudoHost
属性にワイルドカードが含まれるすべての sudo
ルールをダウンロードするため、LDAP 検索パフォーマンスに悪影響があります。
手順
-
テキストエディターで
/etc/sssd/sssd.conf
設定ファイルを開きます。 example.com
ドメインでldap_sudo_include_regexp=true
と設定します。[domain/example.com] ... ldap_sudo_include_regexp = true ...
-
/etc/sssd/sssd.conf
設定ファイルを保存します。 SSSD を再起動して、設定の変更を読み込みます。
[root@client ~]# systemctl restart sssd