サポートコンソール開発者トライアルの開始お問い合わせ

4.15. Identity Management

SSSD が SID リクエストのメモリーキャッシングをサポートするようになりました

この機能拡張により、SSSD は SID 要求のメモリーキャッシングをサポートするようになりました。これには、SID による GID および UID ルックアップと、その逆が含まれます。メモリーキャッシングにより、たとえば、Samba サーバーとの間で大量のファイルをコピーする場合などに、パフォーマンスが向上します。

(JIRA:RHELPLAN-123369)

ipaservicedelegationtarget および ipaservicedelegationrule Ansible モジュールが利用可能になりました

ipaservicedelegationtarget および ipaservicedelegationrule ansible-freeipa モジュールを使用して、たとえば、スマートカードで認証された Identity Management (IdM) ユーザーが以下を実行できるように Web コンソールクライアントを設定できます。

  • 再認証を求められることなく、Web コンソールサービスが実行されている RHEL ホストで sudo を使用します。
  • SSH を使用してリモートホストにアクセスし、再度認証を求められることなくホスト上のサービスにアクセスします。

ipaservicedelegationtarget および ipaservicedelegationrule モジュールは、制約付き委任とも呼ばれる Kerberos S4U2proxy 機能を利用します。IdM は伝統的にこの機能を使用して、Web サーバーフレームワークがユーザーに代わって LDAP サービスチケットを取得できるようにします。IdM-AD 信頼システムは、この機能を使用して cifs プリンシパルを取得します。

(JIRA:RHELPLAN-117109)

SSSD で、FAST の匿名 PKINIT がサポートされます

この機能拡張により、SSSD は Flexible Authentication via Secure Tunneling (FAST) の匿名 PKINIT をサポートするようになりました。これは、Active Directory の Kerberos アーマーとも呼ばれます。これまで、FAST を使用するには、必要なクレデンシャルを要求するために Kerberos キータブが必要でした。匿名 PKINIT を使用してこのクレデンシャルキャッシュを作成し、FAST セッションを確立できるようになりました。

匿名 PKINIT を有効にするには、次の手順を実行します。

  1. sssd.conf ファイルの [domain] セクションで、krb5_fast_use_anonymous_pkinittrue に設定します。
  2. SSSD を再起動します。

  3. IdM 環境では、IdM ユーザーとしてログインすることで、FAST セッションの確率に匿名 PKINIT が使用されたか検証できます。FAST チケットを含むキャッシュファイルが作成され、その中の Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS が匿名 PKINIT の使用を示します。 

    klist /var/lib/sss/db/fast_ccache_IPA.VM
Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS
Valid starting Expires Service principal
03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM

(JIRA:RHELPLAN-123368)

IdM が Random Serial Numbers をサポートするようになりました

今回の更新により、Identity Management (IdM) に dogtagpki 11.2.0 が含まれるようになりました。これにより、Random Serial Numbers バージョン 3 (RSNv3) を使用できるようになります。ipa-server-install または ipa-ca-install の実行時に --random-serial-numbers オプションを使用して RSNv3 を有効にできます。RSNv3 を有効にすると、IdM は範囲管理なしで PKI の証明書とリクエストに対して完全にランダムなシリアル番号を生成します。RSNv3 を使用すると、大規模な IdM インストールでの範囲管理を回避し、IdM を再インストールする際の一般的な競合を防ぐことができます。

重要

RSNv3 は、新しい IdM インストールでのみサポートされます。有効にした場合、すべての PKI サービスで RSNv3 を使用する必要があります。

(BZ#747959)

IdM は、ユーザーパスワードの有効期限が切れた後に許可される LDAP バインド数の制限をサポートするようになりました

今回の機能拡張により、Identity Management (IdM) ユーザーのパスワードの有効期限が切れたときに許可される LDAP バインドの数を設定できます。

-1
IdM は、ユーザーがパスワードをリセットする必要がある前に、ユーザーに無制限の LDAP バインドを許可します。これはデフォルト値で、以前の動作と一致します。
0
この値は、パスワードの有効期限が切れると、すべての LDAP バインドを無効にします。適用された場合、ユーザーは自分のパスワードをすぐにリセットする必要があります。
1-MAXINT
有効期限が切れると、入力された値どおりの数のバインドが許可されます。

この値は、グローバルパスワードポリシーとグループポリシーで設定できます。

数はサーバーごとに保存されることに注意してください。

ユーザーが自分のパスワードをリセットするには、現在の期限切れパスワードにバインドする必要があります。ユーザーが有効期限後に許可されるバインドをすべて使い果たした場合、管理者がパスワードをリセットする必要があります。

(BZ#2091988)

新しい ipasmartcard_server および ipasmartcard_client ロールが追加されました

今回の更新により、ansible-freeipa パッケージは、スマートカード認証用に Identity Management (IdM) サーバーとクライアントを設定するための Ansible ロールを提供します。ipasmartcard_server および ipasmartcard_client ロールは、統合を自動化および簡素化するために ipa- advise スクリプトを置き換えます。他の ansible-freeipa ロールと同じインベントリーと命名スキームが使用されます。

(BZ#2076567)

IdM は、Windows Server 2022 での AD Trust の設定をサポートするようになりました

この機能拡張により、Identity Management (IdM) ドメインと、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストとの間でフォレスト間の信頼を確立できます。

(BZ#2122716)

ipa-dnskeysyncd および ipa-ods-exporter デバッグメッセージは、デフォルトで/var/log/messages に記録されなくなりました

以前は、LDAP から OpenDNSSEC への同期サービスである ipa-dnskeysyncd と、Identity Management (IdM) OpenDNSSEC エクスポーターサービスである ipa-ods-exporter は、デフォルトですべてのデバッグメッセージを /var/log/messages に記録していました。その結果、ログファイルが非常に大きくなっていました。今回の機能拡張により、/etc/ipa/dns.conf ファイルで debug=True を設定することにより、ログレベルを設定できます。詳細は、IdM 設定ファイルの man ページである default.conf(5) を参照してください。

(BZ#2083218)

samba がバージョン 4.16.1 にリベースされました。

samba パッケージがアップストリームバージョン 4.16.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が追加されました。

  • デフォルトでは、smbd プロセスは新しい samba-dcerpcd プロセスをオンデマンドで自動的に開始し、分散コンピューティング環境/リモートプロシージャコール (DCERPC) を提供します。Samba 4.16 以降では、DCERPC を使用するために必ず samba-dcerpcd が必要であることに注意してください。/etc/samba/smb.conf ファイルの [global] セクションで rpc start on demand helpers 設定を無効にする場合、スタンドアロンモードで samba-dcerpcd を実行する systemd サービスユニットを作成する必要があります。

  • Cluster Trivial Database (CTDB) の recovery master のロール名が、leader に変更されました。その結果、次のとおり ctdb サブコマンドの名前が変更されました。

    • recmaster から leader に変更
    • setrecmasterrole から setleaderrole に変更
  • CTDB recovery lock 設定の名前が cluster lock に変更されました。
  • CTDB は、リーダーブロードキャストと関連するタイムアウトを使用して、選択が必要かどうかを判断するようになりました。

Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。

Samba を起動する前にデータベースファイルがバックアップされます。smbdnmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。

Samba を更新したら、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。

更新する前に、upstream release notes で重要な変更の詳細を確認してください。

(BZ#2077487)

SSSD が Windows Server 2022 との直接統合をサポートするようになりました

この機能拡張により、SSSD を使用して、Windows Server 2022 を実行するドメインコントローラーを使用する Active Directory フォレストと RHEL システムを直接統合できます。

(BZ#2070793)

SSSD マルチスレッドパフォーマンスの向上

以前は、SSSD は、Red Hat Directory Server や Identity Management などのマルチスレッドアプリケーションからの並列リクエストをシリアル化していました。今回の更新により、nsspam などの SSSD クライアントライブラリーがすべて修正され、リクエストはシリアル化されなくなりました。そのため、複数のスレッドからのリクエストを並行して実行できるようになり、パフォーマンスが向上しました。以前のシリアル化の動作を有効にするには、環境変数 SSS_LOCKFREENO に設定します。

(BZ#1978119)

Directory Server が Auto Membership プラグインタスクのキャンセルに対応

以前は、ディレクトリーサーバーの設定が複雑な場合 (大規模なグループ、複雑なルール、他のプラグインとの対話など)、Auto Membership プラグインタスクが原因でサーバーの CPU 使用率が高くなる可能性がありました。この機能強化により、Auto Membership プラグインタスクをキャンセルできます。その結果、パフォーマンスの問題は発生しなくなりました。

(BZ#2052527)

Directory Server は、ldapdelete 使用時に再帰的な削除操作をサポートするようになりました

この機能拡張により、Directory Server が Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP コントロールをサポートするようになりました。その結果、ldapdelete ユーティリティーを使用して、親エントリーのサブエントリーを再帰的に削除できます。

(BZ#2057063)

Directory Server インストール時における基本的な複製オプションの設定に対応

この機能強化により、インスタンスのインストール時に .inf ファイルを使用して、認証情報や変更履歴のトリミングなどの基本的なレプリケーションオプションを設定することができるようになりました。

(BZ#2057066)

Directory Server は、root 以外のユーザーによるインスタンスの作成をサポートするようになりました

以前は、root 以外のユーザーは Directory Server インスタンスを作成できませんでした。この機能強化により、root 以外のユーザーは dscreate ds-root サブコマンドを使用して、通常どおり dscreatedsctldsconf コマンドを使用して Directory Server インスタンスを作成および管理する環境を設定できます。

(BZ#1872451)

pki パッケージの名前を idm-pki に変更

以下の pki パッケージの名前が idm-pki に変更され、IDM パッケージと Red Hat Certificate System パッケージを区別しやすくなりました。

  • idm-pki-tools
  • idm-pki-acme
  • idm-pki-base
  • idm-pki-java
  • idm-pki-ca
  • idm-pki-kra
  • idm-pki-server
  • python3-idm-pki

(BZ#2139877)

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.