Red Hat Summit4.15. Identity Management
SSSD が SID リクエストのメモリーキャッシングをサポートするようになりました
この機能拡張により、SSSD は SID 要求のメモリーキャッシングをサポートするようになりました。これには、SID による GID および UID ルックアップと、その逆が含まれます。メモリーキャッシングにより、たとえば、Samba サーバーとの間で大量のファイルをコピーする場合などに、パフォーマンスが向上します。
(JIRA:RHELPLAN-123369)
ipaservicedelegationtarget および ipaservicedelegationrule Ansible モジュールが利用可能になりました
ipaservicedelegationtarget および ipaservicedelegationrule ansible-freeipa モジュールを使用して、たとえば、スマートカードで認証された Identity Management (IdM) ユーザーが以下を実行できるように Web コンソールクライアントを設定できます。
-
再認証を求められることなく、Web コンソールサービスが実行されている RHEL ホストで
sudoを使用します。 -
SSHを使用してリモートホストにアクセスし、再度認証を求められることなくホスト上のサービスにアクセスします。
ipaservicedelegationtarget および ipaservicedelegationrule モジュールは、制約付き委任とも呼ばれる Kerberos S4U2proxy 機能を利用します。IdM は伝統的にこの機能を使用して、Web サーバーフレームワークがユーザーに代わって LDAP サービスチケットを取得できるようにします。IdM-AD 信頼システムは、この機能を使用して cifs プリンシパルを取得します。
(JIRA:RHELPLAN-117109)
SSSD で、FAST の匿名 PKINIT がサポートされます
この機能拡張により、SSSD は Flexible Authentication via Secure Tunneling (FAST) の匿名 PKINIT をサポートするようになりました。これは、Active Directory の Kerberos アーマーとも呼ばれます。これまで、FAST を使用するには、必要なクレデンシャルを要求するために Kerberos キータブが必要でした。匿名 PKINIT を使用してこのクレデンシャルキャッシュを作成し、FAST セッションを確立できるようになりました。
匿名 PKINIT を有効にするには、次の手順を実行します。
-
sssd.confファイルの[domain]セクションで、krb5_fast_use_anonymous_pkinitをtrueに設定します。 - SSSD を再起動します。
IdM 環境では、IdM ユーザーとしてログインすることで、FAST セッションの確率に匿名 PKINIT が使用されたか検証できます。FAST チケットを含むキャッシュファイルが作成され、その中の
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUSが匿名 PKINIT の使用を示します。klist /var/lib/sss/db/fast_ccache_IPA.VM Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS Valid starting Expires Service principal 03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM
klist /var/lib/sss/db/fast_ccache_IPA.VM Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS Valid starting Expires Service principal 03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VMCopy to Clipboard Copied! Toggle word wrap Toggle overflow
(JIRA:RHELPLAN-123368)
IdM が Random Serial Numbers をサポートするようになりました
今回の更新により、Identity Management (IdM) に dogtagpki 11.2.0 が含まれるようになりました。これにより、Random Serial Numbers バージョン 3 (RSNv3) を使用できるようになります。ipa-server-install または ipa-ca-install の実行時に --random-serial-numbers オプションを使用して RSNv3 を有効にできます。RSNv3 を有効にすると、IdM は範囲管理なしで PKI の証明書とリクエストに対して完全にランダムなシリアル番号を生成します。RSNv3 を使用すると、大規模な IdM インストールでの範囲管理を回避し、IdM を再インストールする際の一般的な競合を防ぐことができます。
RSNv3 は、新しい IdM インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。
IdM は、ユーザーパスワードの有効期限が切れた後に許可される LDAP バインド数の制限をサポートするようになりました
今回の機能拡張により、Identity Management (IdM) ユーザーのパスワードの有効期限が切れたときに許可される LDAP バインドの数を設定できます。
- -1
- IdM は、ユーザーがパスワードをリセットする必要がある前に、ユーザーに無制限の LDAP バインドを許可します。これはデフォルト値で、以前の動作と一致します。
- 0
- この値は、パスワードの有効期限が切れると、すべての LDAP バインドを無効にします。適用された場合、ユーザーは自分のパスワードをすぐにリセットする必要があります。
- 1-MAXINT
- 有効期限が切れると、入力された値どおりの数のバインドが許可されます。
この値は、グローバルパスワードポリシーとグループポリシーで設定できます。
数はサーバーごとに保存されることに注意してください。
ユーザーが自分のパスワードをリセットするには、現在の期限切れパスワードにバインドする必要があります。ユーザーが有効期限後に許可されるバインドをすべて使い果たした場合、管理者がパスワードをリセットする必要があります。
新しい ipasmartcard_server および ipasmartcard_client ロールが追加されました
今回の更新により、ansible-freeipa パッケージは、スマートカード認証用に Identity Management (IdM) サーバーとクライアントを設定するための Ansible ロールを提供します。ipasmartcard_server および ipasmartcard_client ロールは、統合を自動化および簡素化するために ipa- advise スクリプトを置き換えます。他の ansible-freeipa ロールと同じインベントリーと命名スキームが使用されます。
IdM は、Windows Server 2022 での AD Trust の設定をサポートするようになりました
この機能拡張により、Identity Management (IdM) ドメインと、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストとの間でフォレスト間の信頼を確立できます。
ipa-dnskeysyncd および ipa-ods-exporter デバッグメッセージは、デフォルトで/var/log/messages に記録されなくなりました
以前は、LDAP から OpenDNSSEC への同期サービスである ipa-dnskeysyncd と、Identity Management (IdM) OpenDNSSEC エクスポーターサービスである ipa-ods-exporter は、デフォルトですべてのデバッグメッセージを /var/log/messages に記録していました。その結果、ログファイルが非常に大きくなっていました。今回の機能拡張により、/etc/ipa/dns.conf ファイルで debug=True を設定することにより、ログレベルを設定できます。詳細は、IdM 設定ファイルの man ページである default.conf(5) を参照してください。
samba がバージョン 4.16.1 にリベースされました。
samba パッケージがアップストリームバージョン 4.16.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が追加されました。
-
デフォルトでは、
smbdプロセスは新しいsamba-dcerpcdプロセスをオンデマンドで自動的に開始し、分散コンピューティング環境/リモートプロシージャコール (DCERPC) を提供します。Samba 4.16 以降では、DCERPC を使用するために必ずsamba-dcerpcdが必要であることに注意してください。/etc/samba/smb.confファイルの[global]セクションでrpc start on demand helpers設定を無効にする場合、スタンドアロンモードでsamba-dcerpcdを実行するsystemdサービスユニットを作成する必要があります。 Cluster Trivial Database (CTDB) の
recovery masterのロール名が、leaderに変更されました。その結果、次のとおりctdbサブコマンドの名前が変更されました。-
recmasterからleaderに変更 -
setrecmasterroleからsetleaderroleに変更
-
-
CTDB
recovery lock設定の名前がcluster lockに変更されました。 - CTDB は、リーダーブロードキャストと関連するタイムアウトを使用して、選択が必要かどうかを判断するようになりました。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、または winbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。
Samba を更新したら、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
更新する前に、upstream release notes で重要な変更の詳細を確認してください。
SSSD が Windows Server 2022 との直接統合をサポートするようになりました
この機能拡張により、SSSD を使用して、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストと RHEL システムを直接統合できます。
SSSD マルチスレッドパフォーマンスの向上
以前は、SSSD は、Red Hat Directory Server や Identity Management などのマルチスレッドアプリケーションからの並列リクエストをシリアル化していました。今回の更新により、nss や pam などの SSSD クライアントライブラリーがすべて修正され、リクエストはシリアル化されなくなりました。そのため、複数のスレッドからのリクエストを並行して実行できるようになり、パフォーマンスが向上しました。以前のシリアル化の動作を有効にするには、環境変数 SSS_LOCKFREE を NO に設定します。
(BZ#1978119)
Directory Server が Auto Membership プラグインタスクのキャンセルに対応
以前は、ディレクトリーサーバーの設定が複雑な場合 (大規模なグループ、複雑なルール、他のプラグインとの対話など)、Auto Membership プラグインタスクが原因でサーバーの CPU 使用率が高くなる可能性がありました。この機能強化により、Auto Membership プラグインタスクをキャンセルできます。その結果、パフォーマンスの問題は発生しなくなりました。
Directory Server は、ldapdelete 使用時に再帰的な削除操作をサポートするようになりました
この機能拡張により、Directory Server が Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP コントロールをサポートするようになりました。その結果、ldapdelete ユーティリティーを使用して、親エントリーのサブエントリーを再帰的に削除できます。
Directory Server インストール時における基本的な複製オプションの設定に対応
この機能強化により、インスタンスのインストール時に .inf ファイルを使用して、認証情報や変更履歴のトリミングなどの基本的なレプリケーションオプションを設定することができるようになりました。
Directory Server は、root 以外のユーザーによるインスタンスの作成をサポートするようになりました
以前は、root 以外のユーザーは Directory Server インスタンスを作成できませんでした。この機能強化により、root 以外のユーザーは dscreate ds-root サブコマンドを使用して、通常どおり dscreate、dsctl、dsconf コマンドを使用して Directory Server インスタンスを作成および管理する環境を設定できます。
pki パッケージの名前を idm-pki に変更
以下の pki パッケージの名前が idm-pki に変更され、IDM パッケージと Red Hat Certificate System パッケージを区別しやすくなりました。
-
idm-pki-tools -
idm-pki-acme -
idm-pki-base -
idm-pki-java -
idm-pki-ca -
idm-pki-kra -
idm-pki-server -
python3-idm-pki
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}