4.12. Identity Management
python-jwcrypto がバージョン 1.5.6 にリベース
python-jwcrypto パッケージがバージョン 1.5.6 に更新されました。このバージョンには、攻撃者が高圧縮率の悪意のある JWE トークンを渡すことでサービス拒否攻撃を引き起こす可能性がある問題に対するセキュリティー修正が含まれています。
Jira:RHELDOCS-18197[1]
ansible-freeipa が 1.13.2 にリベース
ansible-freeipa パッケージがバージョン 1.12.1 から 1.13.2 にリベースされました。主な機能拡張は次のとおりです。
-
ansible-freeipaPlaybook 用の Identity Management (IdM) サーバーのインベントリーを動的に作成できるようになりました。freeipaプラグインは、ドメイン内の IdM サーバーに関するデータを収集し、指定された IdM サーバーロールが割り当てられているサーバーのみを選択します。たとえば、ドメイン内のすべての IdM DNS サーバーのログを検索して、起こりうる問題を検出する必要がある場合、このプラグインにより、DNS サーバーロールを持つすべての IdM レプリカを検出し、管理対象ノードに自動的に追加できます。 単一の Ansible タスクを使用して複数の Identity Management (IdM) ユーザー、ユーザーグループ、ホスト、およびサービスを追加、変更、削除する
ansible-freeipaPlaybook をより効率的に実行できるようになりました。以前は、ユーザーリスト内の各エントリーに専用の API 呼び出しがありました。この機能拡張により、複数の API 呼び出しがタスク内で 1 つの API 呼び出しに統合されます。これと同じことが、ユーザーグループ、ホスト、およびサービスのリストにも適用されます。その結果、
ipauser、ipagroup、ipahost、およびipaserviceモジュールを使用してこれらの IdM オブジェクトを追加、変更、削除する速度が向上します。最大の利点は、クライアントコンテキストを使用すると得られます。ansible-freeipaが、ansible-freeipa-collectionサブパッケージ内の Ansible コレクションとして、ロールとモジュールを追加で提供するようになりました。新しいコレクションを使用するには:-
ansible-freeipa-collectionサブパッケージをインストールします。 -
ロールとモジュールの名前に
freeipa.ansible_freeipa接頭辞を追加します。Ansible の推奨事項に従うには、完全修飾名を使用します。たとえば、ipahbacruleモジュールを参照するには、freeipa.ansible_freeipa.ipahbacruleを使用します。
module_defaultsを適用することで、freeipa.ansible_freeipaコレクションの一部であるモジュールの使用を簡素化できます。-
ipa がバージョン 4.12.0 にリベース
ipa パッケージがバージョン 4.11 から 4.12.0 に更新されました。主な変更点は、以下のとおりです。
- OTP トークンを提供しないユーザーに対して、LDAP 認証を失敗するように強制できます。
- 信頼できる Active Directory ユーザーを使用して、Identity Management (IdM) クライアントを登録できます。
- FreeIPA のアイデンティティーマッピングに関するドキュメントが利用可能になりました。
-
python-dnsパッケージがバージョン 2.6.1-1.el10 にリベースされました。 -
ansible-freeipaパッケージが、バージョン 1.12.1 から 1.13.2 にリベースされました。
詳細は、FreeIPA および ansible-freeipa アップストリームのリリースノートを参照してください。
certmonger がバージョン 0.79.20 にリベース
certmonger パッケージがバージョン 0.79.20 にリベースされました。この更新には、さまざまなバグ修正と機能拡張が含まれています。主なものは次のとおりです。
- 内部トークン内の新しい証明書の処理が強化され、更新時の削除プロセスが改善されました。
-
CKM_RSA_X_509暗号化メカニズムのトークンに対する制限を削除しました。 -
getcert add-scep-ca、--ca-cert、および--ra-certオプションのドキュメントを修正しました。 - D-Bus サービスと設定ファイルの名前を正規名と一致するように変更しました。
-
getcert-resubmitの man ページで欠落していた.TPタグを追加しました。 - SPDX ライセンス形式に移行しました。
-
getcert list出力に所有者と権限の情報が含まれるようになりました。 -
cm_certread_n_parse関数で NSS データベースの要件を削除しました。 - Webplate を使用して簡体字中国語、グルジア語、ロシア語の翻訳を追加しました。
389-ds-base がバージョン 2.5.2 にリベース
389-ds-base パッケージがバージョン 2.5.2 に更新されました。バージョン 2.4.5 への主なバグ修正および機能拡張は、以下のとおりです。
MIT krb5 TCP 接続タイムアウト処理が改善される
以前は、TCP 接続は 10 秒後にタイムアウトしていました。この更新により、MIT krb5 TCP 接続処理が変更され、デフォルトのタイムアウトが使用されなくなりました。request_timeout 設定では、個々の TCP 接続の期間ではなく、合計リクエスト期間が制限されるようになりました。この変更により、特に 2 要素認証のユースケースにおける SSSD とのインテグレーションの問題が対処されます。その結果、request_timeout 設定によってグローバルリクエストの最大期間が効果的に制御されるようになり、ユーザーは TCP 接続のより一貫した処理を体験できるようになります。
Jira:RHEL-17132[1]
