4.15. Identity Management
Directory Server はグローバル changelog を使用しなくなりました
この機能強化により、Directory Server changelog がメインのデータベースに統合されました。以前は、Directory Server はグローバル changelog を使用していました。ただし、ディレクトリーが複数のデータベースを使用した場合は、問題が発生する可能性がありました。その結果、各接尾辞には、通常のデータベースファイルと同じディレクトリーに独自の changelog が含まれるようになりました。
(BZ#1805717)
すべての依存関係を持つ AppStream リポジトリーで ansible-freeipa
が利用できるようになる
以前の RHEL 8 では、ansible-freeipa
パッケージをインストールする前に、まず Ansible リポジトリーを有効にして ansible
パッケージをインストールする必要がありました。RHEL 8.6 および RHEL 9 では、準備手順なしで ansible-freeipa
をインストールできます。ansible-freeipa
をインストールすると、依存関係として、ansible
のより基本的なバージョンである ansible-core
パッケージが自動的にインストールされます。ansible-freeipa
と ansible-core
の両方が、rhel-9-for-x86_64-appstream-rpms
リポジトリーで利用できます。
RHEL 8.6 および RHEL 9 の ansible-freeipa
には、RHEL 8 で含まれていたモジュールがすべて含まれています。
(JIRA:RHELPLAN-100359)
IdM は、automountlocation
、automountmap
、および automountkey
Ansible モジュールをサポートするようになる
この更新では、ansible-freeipa
パッケージに、ipaautomountlocation
、ipaautomountmap
、および ipaautomountkey
モジュールが含まれています。これらのモジュールを使用して、IdM の場所にある IdM クライアントにログインした IdM ユーザーが自動的にマウントされるようにディレクトリーを設定できます。現在サポートされているのはダイレクトマップのみであることに注意してください。
(JIRA:RHELPLAN-79161)
subID 範囲の管理が shadow-utils でサポートされる
以前は、shadow-utils
が /etc/subuid
および /etc/subgid
ファイルから subID 範囲を自動的に設定していました。今回の更新で、subid
フィールドに値を設定することで、/etc/nsswitch.conf
ファイルで subID 範囲の設定を利用できるようになりました。詳細は man subuid
および man subgid
を参照してください。また、この更新により、IPA サーバーからの subID 範囲を提供する shadow-utils
プラグインの SSSD 実装が利用可能になりました。この機能を使用するには、subid: sss
を /etc/nsswitch.conf
に追加します。このソリューションは、コンテナー化した環境でルートレスコンテナーを容易にするために役立ちます。
/etc/nsswitch.conf
ファイルが authselect
ツールで設定されている場合は、authselect
のドキュメントに記載されている手順に従う必要があります。そうでない場合は、/etc/nsswitch.conf
を手動で修正できます。
subID 範囲の管理が IdM でサポートされる
この更新により、Identity Management でユーザーの ID サブ範囲を管理できるようになりました。ipa
CLI ツールまたは IdM WebUI インターフェイスを使用して、自動的に設定された subID 範囲をユーザーに割り当てることができます。これは、コンテナー化された環境で役立つ場合があります。
Identity Management インストールパッケージがモジュール解除される
RHEL 8 以前では、IdM パッケージはモジュールとして配布されていたため、ストリームを有効にして、目的のインストールに対応するプロファイルをインストールする必要がありました。IdM インストールパッケージは、RHEL 9 でモジュール解除されているため、次の dnf
コマンドを使用して IdM サーバーをインストールできます。
統合 DNS サービスがないサーバーの場合は、次のコマンドを実行します。
# dnf install ipa-server
統合 DNS サービスがあるサーバーの場合は、次のコマンドを実行します。
# dnf install ipa-server ipa-server-dns
従来の RHEL ansible-freeipa リポジトリーの代替:Ansible Automation Hub
この更新では、標準の RHEL リポジトリーからダウンロードする代わりに、Ansible Automation Hub (AAH) から ansible-freeipa
モジュールをダウンロードできます。AAH を使用することで、このリポジトリーで利用可能な ansible-freeipa
モジュールのより高速な更新の恩恵を受けることができます。
AAH では、ansible-freeipa
のロールとモジュールがコレクション形式で配布されます。AAH ポータルのコンテンツにアクセスするには、Ansible Automation Platform (AAP) サブスクリプションが必要であることに注意してください。また、ansible
バージョン 2.9 以降も必要です。
redhat.rhel_idm
コレクションには、従来の ansible-freeipa
パッケージと同じコンテンツが含まれています。ただし、コレクション形式では、名前空間とコレクション名で構成される完全修飾コレクション名 (FQCN) が使用されます。たとえば、redhat.rhel_idm.ipadnsconfig
モジュールは、RHEL リポジトリーによって提供される ansible-freeipa
の ipadnsconfig
モジュールに対応します。名前空間とコレクション名の組み合わせにより、オブジェクトが一意になり、競合することなく共有できるようになります。
(JIRA:RHELPLAN-103147)
ansible-freeipa モジュールを IdM クライアントでリモートで実行できるようになる
以前は、ansible-freeipa
モジュールは IdM サーバーでのみ実行できました。これには、Ansible 管理者が IdM サーバーへの SSH
アクセスを持っている必要があり、潜在的なセキュリティーの脅威を引き起こしていました。この更新により、IdM クライアントであるシステム上で ansible-freeipa
モジュールをリモートで実行できるようになります。その結果、IdM の設定とエンティティーをより安全な方法で管理できます。
IdM クライアントで ansible-freeipa
モジュールを実行するには、次のいずれかのオプションを選択します。
-
Playbook の
hosts
変数を IdM クライアントホストに設定します。 -
ansible-freeipa
モジュールを使用する Playbook タスクにipa_context: client
行を追加します。
ipa_context
変数を IdM サーバー上の client
に設定することもできます。ただし、通常、サーバーコンテキストの方がパフォーマンスが向上します。ipa_context
が設定されていない場合、ansible-freeipa
はサーバーまたはクライアントで実行されているかどうかを確認し、それに応じてコンテキストを設定します。IdM クライアントホスト上の server
に context
が設定された ansible-freeipa
モジュールを実行すると、missing libraries
エラーが発生することに注意してください。
(JIRA:RHELPLAN-103146)
ipadnsconfig
モジュールには、グローバルフォワーダーを除外するための action: member
が必要になる
今回の更新で、ansible-freeipa
ipadnsconfig
モジュールを使用して Identity Management (IdM) のグローバルフォワーダーを除外するには、state: absent
オプションの他に action: member
オプションを使用する必要があります。Playbook で action: member
を使用せずに state: absent
だけを使用すると、その Playbook は失敗します。そのため、すべてのグローバルフォワーダーを削除するには、Playbook でこれらをすべて個別に指定する必要があります。一方、state: present
オプションに action: member
は必要ありません。
AD ユーザー向けの自動プライベートグループが、一元管理された設定をサポート
IdM クライアントの SSSD の互換バージョンで、信頼された Active Directory ドメインのユーザーのプライベートグループを管理する方法を一元的に定義できるようになりました。この改善により、AD ユーザーを処理する ID 範囲に対して、SSSD の auto_private_groups
オプションの値を明示的に設定できるようになりました。
auto_private_groups
オプションが明示的に設定されていない場合は、デフォルト値が使用されます。
-
ipa-ad-trust-posix
ID の範囲では、デフォルト値はfalse
です。SSSD は、AD エントリーのuidNumber
とgidNumber
を常に使用します。gidNumber
を持つグループが AD に存在している必要があります。 -
ipa-ad-trust
ID の範囲では、デフォルト値は真
です。SSSD は、エントリー SID からのuidNumber
をマッピングします。gidNumber
は常に同じ値に設定され、プライベートグループは常にマッピングされます。
auto_private_groups
を 3 番目の設定 (ハイブリッド
) に設定することもできます。この設定では、ユーザーエントリーの GID が UID と同じであるにもかかわらず、この GID を持つグループがない場合に、SSSD がプライベートグループをマッピングします。UID と GID が異なる場合は、この GID 番号のグループが存在する必要があります。
この機能は、ユーザープライベートグループ用に別のグループオブジェクトの保持を停止しながら、既存のユーザープライベートグループを保持する管理者に役立ちます。
(BZ#1957736)
BIND のカスタマイズ可能なロギング設定
この改善により、/etc/named/ipa-logging-ext.conf
設定ファイルで、Identity Management サーバーの BIND DNS サーバーコンポーネントのロギング設定を設定できるようになりました。
IdM キータブの取得時の IdM サーバーの自動検出
この改善により、ipa-getkeytab
コマンドで Kerberos キータブを取得する際に、IdM サーバーのホスト名を指定する必要がなくなりました。サーバーのホスト名を指定しない場合は、DNS 検出が使用されて IdM サーバーが検出されます。サーバーが見つからない場合は、/etc/ipa/default.conf
設定ファイルで指定された host
に戻ります。
RHEL 9 が Samba 4.15.5 を提供する
RHEL 9 には Samba 4.15.5 が使用されており、バージョン 4.14 に対するバグ修正および機能拡張が提供されます。
- 一貫したユーザーエクスペリエンスのために、Samba ユーティリティーのオプションの名前が変更され、削除されました。
- サーバーのマルチチャンネルサポートがデフォルトで有効になりました。
-
SMB2_22
、SMB2_24
、およびSMB3_10
のダイアレクトは、Windows のテクニカルプレビューでのみ使用されていましたが、削除されました。
Samba を起動する前にデータベースファイルがバックアップされます。smbd
、nmbd
、またはwinbind
サービスが起動すると、Samba が tdb
データベースファイルを自動的に更新します。Red Hat は、tdb
データベースファイルのダウングレードをサポートしていないことに留意してください。
Samba を更新したら、testparm
ユーティリティーを使用して /etc/samba/smb.conf
ファイルを確認します。
重要な変更点の詳細については、更新する前に、アップストリームリリースノート をお読みください。
ログアナライザーツールを使用したクライアント要求の追跡
SSSD(System Security Services Daemon) には、複数の SSSD コンポーネントからのログファイル全体で開始からの要求を追跡するログ解析ツールが追加されました。
ログアナライザーツールを使用すると、SSSD のデバッグログをより簡単に確認でき、SSSD の問題のトラブルシューティングに役立ちます。たとえば、SSSD プロセス全体で特定のクライアント要求のみに関連する SSSD ログを抽出および出力できます。アナライザーツールを実行するには、sssctl analyze
コマンドを使用します。
(JIRA:RHELPLAN-97899)
SSSD がデフォルトでバックトレースをログ記録するようになる
この改善により、SSSD は詳細なデバッグログをメモリー内のバッファーに保存し、障害発生時にログファイルに追加できるようになりました。デフォルトでは、以下のエラーレベルが原因でバックトレースが発生します。
- レベル 0: 致命的な障害
- レベル 1: 重大な障害
- レベル 2: 重大な障害
この動作は、sssd.conf
設定ファイルの対応するセクションにある debug_level
オプションを設定することで、SSSD プロセスごとに変更できます。
- デバッグレベルを 0 に設定すると、レベル 0 のイベントのみがバックトレースをトリガーします。
- デバッグレベルを 1 に設定すると、レベル 0 と 1 でバックトレースが発生します。
- デバッグレベルを 2 以上に設定すると、レベル 0 から 2 のイベントでバックトレースが発生します。
sssd.conf
の対応するセクションで debug_backtrace_enabled
オプションを false
に設定することで、SSSD プロセスごとにこの機能を無効にできます。
[sssd] debug_backtrace_enabled = true debug_level=0 ... [nss] debug_backtrace_enabled = false ... [domain/idm.example.com] debug_backtrace_enabled = true debug_level=2 ... ...
SSSD のデフォルトの SSH ハッシュ値が OpenSSH 設定と一致するようになる
ssh_hash_known_hosts
のデフォルト値が false に変更になりました。これは、デフォルトでホスト名をハッシュしない OpenSSH 設定と一致するようになりました。
ただし、引き続きホスト名をハッシュする必要がある場合は、/etc/sssd/sssd.conf
設定ファイルの [ssh]
セクションに ssh_hash_known_hosts = True
を追加します。
Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとする
Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとしており、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-14.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-13.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-12.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-11.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-10.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-9.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-8.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-7.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-6.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-5.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-4.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-3.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-2.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-1.html
Directory Server が、tmpfs
ファイルシステムのデータベースのメモリーマッピングされたファイルを保存するようになる
Directory Server の nsslapd-db-home-directory
パラメーターは、データベースのメモリーマッピングファイルの場所を定義します。この改善により、パラメーターのデフォルト値が /var/lib/dirsrv/slapd-instance_name/db/
から /dev/shm/
に変更になりました。その結果、tmpfs
ファイルシステムに保存されている内部データベースがあると、Directory Server のパフォーマンスが向上します。
FreeRADIUS サポートが再設計される
RHEL 9 では、既存の FreeRADIUS オファリングが合理化され、Identity Management (IdM) の戦略的方向性とより整合するようになりました。IdM ユーザーに最高のサポートを提供するために、Red Hat は FreeRADIUS を使用した次の外部認証モジュールのサポートを強化しています。
-
krb5
および LDAP に基づく認証 -
Python 3
認証
次のモジュールはサポート対象外になりました。
- MySQL、PostgreSQL、SQlite、および unixODBC データベースコネクター
-
Perl
言語モジュール - REST API モジュール
ベースパッケージの一部として提供される PAM 認証モジュールおよびその他の認証モジュールは影響を受けません。
削除されたモジュールの代替は、Fedora プロジェクトなどのコミュニティーでサポートされているパッケージで見つけることができます。
さらに、freeradius
パッケージのサポート範囲は、次のユースケースに限定されています。
-
FreeRADIUS を認証プロバイダーとして使用し、IdM を認証のバックエンドソースとして使用します。認証は、
krb5
および LDAP 認証パッケージを使用して、またはメインの FreeRADIUS パッケージの PAM 認証として行われます。 -
FreeRADIUS を使用して、
Python 3
認証パッケージで IdM の認証用に信頼できる情報源を提供します。
(JIRA:RHELDOCS-17553)