5.11. Identity Management
OpenSSL レガシープロバイダーを使用した MS-CHAP 認証
以前は、MS-CHAP を使用する FreeRADIUS 認証機構は MD4 ハッシュ関数に依存していたため失敗していましたが、RHEL 9 では MD4 は非推奨となりました。今回の更新で、OpenSSL レガシープロバイダーを有効にすると、MS-CHAP または MS-CHAPv2 で FreeRADIUS ユーザーを認証できるようになりました。
デフォルトの OpenSSL プロバイダーを使用する場合は、MS-CHAP および MS-CHAPv2 認証が失敗し、修正を示す以下のエラーメッセージが表示されます。
Couldn't init MD4 algorithm. Enable OpenSSL legacy provider.
sudo コマンドを実行しても、KRB5CCNAME 環境変数をエクスポートしなくなりました。
以前のバージョンでは、sudo コマンドの実行後に、環境変数 KRB5CCNAME は、元のユーザーの Kerberos 認証情報キャッシュを参照していましたが、ターゲットユーザーがアクセスできない場合がありました。そのため、このキャッシュにアクセスできないため、Kerberos 関連の操作が失敗する可能性がありました。今回の更新で、sudo コマンドを実行しても KRB5CCNAME 環境変数が設定されなくなり、ターゲットユーザーがデフォルトの Kerberos 認証情報キャッシュを使用できるようになりました。
(BZ#1879869)
SSSD が、/etc/krb5.conf の Kerberos キータブ名のデフォルト設定を正しく評価
以前は、krb5.keytab ファイルの標準以外の場所を定義した場合は、SSSD はこの場所を使用せず、代わりにデフォルトの /etc/krb5.keytab の場所を使用していました。したがって、システムへのログイン試行時に、/etc/krb5.keytab にエントリーが含まれていないため、ログインに失敗していました。
今回の更新で、SSSD は /etc/krb5.conf の default_keytab_name 変数を評価し、この変数で指定された場所を使用するようになりました。default_keytab_name 変数が設定されていない場合にのみ、SSSD はデフォルトの /etc/krb5.keytab の場所を使用します。
(BZ#1737489)
PBKDF2 アルゴリズムでハッシュされたパスワードを使用した FIPS モードでの Directory Server への認証が期待どおりに機能するようになりました
Directory Server が FIPS (Federal Information Processing Standard) モードで実行している場合は、PK11_ExtractKeyValue() 機能を使用できません。その結果、この更新の前は、パスワードベースの鍵導出関数 2 (PBKDF2) アルゴリズムでハッシュされたパスワードを持つユーザーは、FIPS モードが有効になっているときにサーバーに対して認証できませんでした。今回の更新で、Directory Server が PK11_Decrypt() 機能を使用してパスワードハッシュデータを取得するようになりました。その結果、PBKDF2 アルゴリズムでハッシュされたパスワードによる認証が期待どおりに機能するようになりました。
