検索

4.15. Identity Management

download PDF

Directory Server はグローバル changelog を使用しなくなりました

この機能強化により、Directory Server changelog がメインのデータベースに統合されました。以前は、Directory Server はグローバル changelog を使用していました。ただし、ディレクトリーが複数のデータベースを使用した場合は、問題が発生する可能性がありました。その結果、各接尾辞には、通常のデータベースファイルと同じディレクトリーに独自の changelog が含まれるようになりました。

(BZ#1805717)

すべての依存関係を持つ AppStream リポジトリーで ansible-freeipa が利用できるようになる

以前の RHEL 8 では、ansible-freeipa パッケージをインストールする前に、まず Ansible リポジトリーを有効にして ansible パッケージをインストールする必要がありました。RHEL 8.6 および RHEL 9 では、準備手順なしで ansible-freeipa をインストールできます。ansible-freeipa をインストールすると、依存関係として、ansible のより基本的なバージョンである ansible-core パッケージが自動的にインストールされます。ansible-freeipaansible-core の両方が、rhel-9-for-x86_64-appstream-rpms リポジトリーで利用できます。

RHEL 8.6 および RHEL 9 の ansible-freeipa には、RHEL 8 で含まれていたモジュールがすべて含まれています。

(JIRA:RHELPLAN-100359)

IdM は、automountlocationautomountmap、および automountkey Ansible モジュールをサポートするようになる

この更新では、ansible-freeipa パッケージに、ipaautomountlocationipaautomountmap、および ipaautomountkey モジュールが含まれています。これらのモジュールを使用して、IdM の場所にある IdM クライアントにログインした IdM ユーザーが自動的にマウントされるようにディレクトリーを設定できます。現在サポートされているのはダイレクトマップのみであることに注意してください。

(JIRA:RHELPLAN-79161)

subID 範囲の管理が shadow-utils でサポートされる

以前は、shadow-utils/etc/subuid および /etc/subgid ファイルから subID 範囲を自動的に設定していました。今回の更新で、subid フィールドに値を設定することで、/etc/nsswitch.conf ファイルで subID 範囲の設定を利用できるようになりました。詳細は man subuid および man subgid を参照してください。また、この更新により、IPA サーバーからの subID 範囲を提供する shadow-utils プラグインの SSSD 実装が利用可能になりました。この機能を使用するには、subid: sss/etc/nsswitch.conf に追加します。このソリューションは、コンテナー化した環境でルートレスコンテナーを容易にするために役立ちます。

/etc/nsswitch.conf ファイルが authselect ツールで設定されている場合は、authselect のドキュメントに記載されている手順に従う必要があります。そうでない場合は、/etc/nsswitch.conf を手動で修正できます。

(BZ#1859252)

subID 範囲の管理が IdM でサポートされる

この更新により、Identity Management でユーザーの ID サブ範囲を管理できるようになりました。ipa CLI ツールまたは IdM WebUI インターフェイスを使用して、自動的に設定された subID 範囲をユーザーに割り当てることができます。これは、コンテナー化された環境で役立つ場合があります。

(BZ#1952028)

Identity Management インストールパッケージがモジュール解除される

RHEL 8 以前では、IdM パッケージはモジュールとして配布されていたため、ストリームを有効にして、目的のインストールに対応するプロファイルをインストールする必要がありました。IdM インストールパッケージは、RHEL 9 でモジュール解除されているため、次の dnf コマンドを使用して IdM サーバーをインストールできます。

統合 DNS サービスがないサーバーの場合は、次のコマンドを実行します。

# dnf install ipa-server

統合 DNS サービスがあるサーバーの場合は、次のコマンドを実行します。

# dnf install ipa-server ipa-server-dns

(BZ#2080875)

従来の RHEL ansible-freeipa リポジトリーの代替:Ansible Automation Hub

この更新では、標準の RHEL リポジトリーからダウンロードする代わりに、Ansible Automation Hub (AAH) から ansible-freeipa モジュールをダウンロードできます。AAH を使用することで、このリポジトリーで利用可能な ansible-freeipa モジュールのより高速な更新の恩恵を受けることができます。

AAH では、ansible-freeipa のロールとモジュールがコレクション形式で配布されます。AAH ポータルのコンテンツにアクセスするには、Ansible Automation Platform (AAP) サブスクリプションが必要であることに注意してください。また、ansible バージョン 2.9 以降も必要です。

redhat.rhel_idm コレクションには、従来の ansible-freeipa パッケージと同じコンテンツが含まれています。ただし、コレクション形式では、名前空間とコレクション名で構成される完全修飾コレクション名 (FQCN) が使用されます。たとえば、redhat.rhel_idm.ipadnsconfig モジュールは、RHEL リポジトリーによって提供される ansible-freeipaipadnsconfig モジュールに対応します。名前空間とコレクション名の組み合わせにより、オブジェクトが一意になり、競合することなく共有できるようになります。

(JIRA:RHELPLAN-103147)

ansible-freeipa モジュールを IdM クライアントでリモートで実行できるようになる

以前は、ansible-freeipa モジュールは IdM サーバーでのみ実行できました。これには、Ansible 管理者が IdM サーバーへの SSH アクセスを持っている必要があり、潜在的なセキュリティーの脅威を引き起こしていました。この更新により、IdM クライアントであるシステム上で ansible-freeipa モジュールをリモートで実行できるようになります。その結果、IdM の設定とエンティティーをより安全な方法で管理できます。

IdM クライアントで ansible-freeipa モジュールを実行するには、次のいずれかのオプションを選択します。

  • Playbook の hosts 変数を IdM クライアントホストに設定します。
  • ansible-freeipa モジュールを使用する Playbook タスクに ipa_context: client 行を追加します。

ipa_context 変数を IdM サーバー上の client に設定することもできます。ただし、通常、サーバーコンテキストの方がパフォーマンスが向上します。ipa_context が設定されていない場合、ansible-freeipa はサーバーまたはクライアントで実行されているかどうかを確認し、それに応じてコンテキストを設定します。IdM クライアントホスト上の servercontext が設定された ansible-freeipa モジュールを実行すると、missing libraries エラーが発生することに注意してください。

(JIRA:RHELPLAN-103146)

ipadnsconfig モジュールには、グローバルフォワーダーを除外するための action: member が必要になる

今回の更新で、ansible-freeipa ipadnsconfig モジュールを使用して Identity Management (IdM) のグローバルフォワーダーを除外するには、state: absent オプションの他に action: member オプションを使用する必要があります。Playbook で action: member を使用せずに state: absent だけを使用すると、その Playbook は失敗します。そのため、すべてのグローバルフォワーダーを削除するには、Playbook でこれらをすべて個別に指定する必要があります。一方、state: present オプションに action: member は必要ありません。

(BZ#2046325)

AD ユーザー向けの自動プライベートグループが、一元管理された設定をサポート

IdM クライアントの SSSD の互換バージョンで、信頼された Active Directory ドメインのユーザーのプライベートグループを管理する方法を一元的に定義できるようになりました。この改善により、AD ユーザーを処理する ID 範囲に対して、SSSD の auto_private_groups オプションの値を明示的に設定できるようになりました。

auto_private_groups オプションが明示的に設定されていない場合は、デフォルト値が使用されます。

  • ipa-ad-trust-posix ID の範囲では、デフォルト値は false です。SSSD は、AD エントリーの uidNumbergidNumber を常に使用します。gidNumber を持つグループが AD に存在している必要があります。
  • ipa-ad-trust ID の範囲では、デフォルト値は です。SSSD は、エントリー SID からの uidNumber をマッピングします。gidNumber は常に同じ値に設定され、プライベートグループは常にマッピングされます。

auto_private_groups を 3 番目の設定 (ハイブリッド) に設定することもできます。この設定では、ユーザーエントリーの GID が UID と同じであるにもかかわらず、この GID を持つグループがない場合に、SSSD がプライベートグループをマッピングします。UID と GID が異なる場合は、この GID 番号のグループが存在する必要があります。

この機能は、ユーザープライベートグループ用に別のグループオブジェクトの保持を停止しながら、既存のユーザープライベートグループを保持する管理者に役立ちます。

(BZ#1957736)

BIND のカスタマイズ可能なロギング設定

この改善により、/etc/named/ipa-logging-ext.conf 設定ファイルで、Identity Management サーバーの BIND DNS サーバーコンポーネントのロギング設定を設定できるようになりました。

(BZ#1966101)

IdM キータブの取得時の IdM サーバーの自動検出

この改善により、ipa-getkeytab コマンドで Kerberos キータブを取得する際に、IdM サーバーのホスト名を指定する必要がなくなりました。サーバーのホスト名を指定しない場合は、DNS 検出が使用されて IdM サーバーが検出されます。サーバーが見つからない場合は、/etc/ipa/default.conf 設定ファイルで指定された host に戻ります。

(BZ#1988383)

RHEL 9 が Samba 4.15.5 を提供する

RHEL 9 には Samba 4.15.5 が使用されており、バージョン 4.14 に対するバグ修正および機能拡張が提供されます。

Samba を起動する前にデータベースファイルがバックアップされます。smbdnmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。

Samba を更新したら、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。

重要な変更点の詳細については、更新する前に、アップストリームリリースノート をお読みください。

(BZ#2013578)

ログアナライザーツールを使用したクライアント要求の追跡

SSSD(System Security Services Daemon) には、複数の SSSD コンポーネントからのログファイル全体で開始からの要求を追跡するログ解析ツールが追加されました。

ログアナライザーツールを使用すると、SSSD のデバッグログをより簡単に確認でき、SSSD の問題のトラブルシューティングに役立ちます。たとえば、SSSD プロセス全体で特定のクライアント要求のみに関連する SSSD ログを抽出および出力できます。アナライザーツールを実行するには、sssctl analyze コマンドを使用します。

(JIRA:RHELPLAN-97899)

SSSD がデフォルトでバックトレースをログ記録するようになる

この改善により、SSSD は詳細なデバッグログをメモリー内のバッファーに保存し、障害発生時にログファイルに追加できるようになりました。デフォルトでは、以下のエラーレベルが原因でバックトレースが発生します。

  • レベル 0: 致命的な障害
  • レベル 1: 重大な障害
  • レベル 2: 重大な障害

この動作は、sssd.conf 設定ファイルの対応するセクションにある debug_level オプションを設定することで、SSSD プロセスごとに変更できます。

  • デバッグレベルを 0 に設定すると、レベル 0 のイベントのみがバックトレースをトリガーします。
  • デバッグレベルを 1 に設定すると、レベル 0 と 1 でバックトレースが発生します。
  • デバッグレベルを 2 以上に設定すると、レベル 0 から 2 のイベントでバックトレースが発生します。

sssd.conf の対応するセクションで debug_backtrace_enabled オプションを false に設定することで、SSSD プロセスごとにこの機能を無効にできます。

[sssd]
debug_backtrace_enabled = true
debug_level=0
...

[nss]
debug_backtrace_enabled = false
...

[domain/idm.example.com]
debug_backtrace_enabled = true
debug_level=2
...

...

(BZ#1949149)

SSSD のデフォルトの SSH ハッシュ値が OpenSSH 設定と一致するようになる

ssh_hash_known_hosts のデフォルト値が false に変更になりました。これは、デフォルトでホスト名をハッシュしない OpenSSH 設定と一致するようになりました。

ただし、引き続きホスト名をハッシュする必要がある場合は、/etc/sssd/sssd.conf 設定ファイルの [ssh] セクションに ssh_hash_known_hosts = True を追加します。

(BZ#2014249)

Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとする

Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとしており、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。

(BZ#2024693)

Directory Server が、tmpfs ファイルシステムのデータベースのメモリーマッピングされたファイルを保存するようになる

Directory Server の nsslapd-db-home-directory パラメーターは、データベースのメモリーマッピングファイルの場所を定義します。この改善により、パラメーターのデフォルト値が /var/lib/dirsrv/slapd-instance_name/db/ から /dev/shm/ に変更になりました。その結果、tmpfs ファイルシステムに保存されている内部データベースがあると、Directory Server のパフォーマンスが向上します。

(BZ#2088414)

FreeRADIUS サポートが再設計される

RHEL 9 では、既存の FreeRADIUS オファリングが合理化され、Identity Management (IdM) の戦略的方向性とより整合するようになりました。IdM ユーザーに最高のサポートを提供するために、Red Hat は FreeRADIUS を使用した次の外部認証モジュールのサポートを強化しています。

  • krb5 および LDAP に基づく認証
  • Python 3 認証

次のモジュールはサポート対象外になりました。

  • MySQL、PostgreSQL、SQlite、および unixODBC データベースコネクター
  • Perl 言語モジュール
  • REST API モジュール
注記

ベースパッケージの一部として提供される PAM 認証モジュールおよびその他の認証モジュールは影響を受けません。

削除されたモジュールの代替は、Fedora プロジェクトなどのコミュニティーでサポートされているパッケージで見つけることができます。

さらに、freeradius パッケージのサポート範囲は、次のユースケースに限定されています。

  • FreeRADIUS を認証プロバイダーとして使用し、IdM を認証のバックエンドソースとして使用します。認証は、krb5 および LDAP 認証パッケージを使用して、またはメインの FreeRADIUS パッケージの PAM 認証として行われます。
  • FreeRADIUS を使用して、Python 3 認証パッケージで IdM の認証用に信頼できる情報源を提供します。

(JIRA:RHELDOCS-17553)

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.