10.13. Identity Management
pam_console モジュールが非推奨となる
RHEL 9.5 では、pam_console モジュールが非推奨となり、今後のリリースで削除される予定です。pam_console モジュールは、物理コンソールまたは端末にログインしたユーザーにファイル権限と認証機能を付与し、コンソールのログインステータスとユーザーの存在に基づいてこれらの権限を調整します。pam_console の代わりに、systemd-logind システムサービスを使用することもできます。設定の詳細は、logind.conf(5) の man ページを参照してください。
Jira:RHELDOCS-18158[1]
BDB バックエンドが 389-ds-base で非推奨となる
389-ds-base で使用される Berkeley Database (BDB) バージョンを実装する libdb ライブラリーは、RHEL 9.0 では非推奨となりました。その結果、Directory Server は BDB バックエンドを非推奨にしました。BDB のサポートは、Directory Server の今後のメジャーバージョンでは削除されます。
代わりに、Directory Server はテクノロジープレビューとして利用可能な Lightning Memory-Mapped Database (LMDB) を使用してインスタンスを作成できるようになりました。
Jira:RHELDOCS-19064[1]
OpenSSL により、MD2、MD4、MDC2、Whirlpool、Blowfish、CAST、DES、IDEA、RC2、RC4、RC5、SEED、および PBKDF1 が非推奨となる
OpenSSL プロジェクトは、セキュアではない、一般的ではない、またはその両方であるという理由で、一連の暗号アルゴリズムを非推奨にしました。Red Hat もそれらのアルゴリズムの使用を推奨せず、RHEL 9 では、新しいアルゴリズムを使用するために暗号化されたデータを移行するためにそれらを提供しています。ユーザーは、自分のシステムのセキュリティーのためにこれらのアルゴリズムに依存してはいけません。
アルゴリズム MD2、MD4、MDC2、Whirlpool、Blowfish、CAST、DES、IDEA、RC2、RC4、RC5、SEED、および PBKDF1 の実装は、OpenSSL のレガシープロバイダーに移行されました。
レガシープロバイダーをロードし、非推奨のアルゴリズムのサポートを有効にする方法は、/etc/pki/tls/openssl.cnf 設定ファイルを参照してください。
SSSD 暗黙的なファイルプロバイダードメインが、デフォルトで無効化される
/etc/shadow などのローカルファイルからユーザー情報を取得し、/etc/groups からのグループ情報をグループ化する SSSD 暗黙的 files プロバイダードメインが、デフォルトで無効になりました。
SSSD を使用してローカルファイルからユーザーおよびグループ情報を取得するには、次のコマンドを実行します。
SSSD を設定します。以下のいずれかのオプションを選択します。
sssd.conf設定ファイルでid_provider=filesを使用して、ローカルドメインを明示的に設定します。[domain/local] id_provider=files ...
sssd.conf設定ファイルでenable_files_domain=trueを設定して、ファイルプロバイダーを有効にします。[sssd] enable_files_domain = true
ネームサービススイッチを設定します。
# authselect enable-feature with-files-provider
ユーザー情報のキャッシュと同期を復元するために、シンボリックリンクを作成して、
shadow-utilsとsssd_cacheの統合を有効にします。# ln -s /usr/sbin/sss_cache /usr/sbin/sss_cache_shadow_utils
Jira:RHELPLAN-100639[1], Jira:RHEL-56352
