4.12. Identity Management
Python-jwcrypto がバージョン 1.5.6 にリベースされました
Python-jwcrypto パッケージがバージョン 1.5.6 に更新されました。このバージョンには、攻撃者が高圧縮率の悪意のある JWE トークンを渡すことでサービス拒否攻撃を引き起こす可能性がある問題に対するセキュリティー修正が含まれています。
Jira:RHELDOCS-18197[1]
ansible-freeipa が 1.13.2 にリベースされました
ansible-freeipa パッケージがバージョン 1.12.1 から 1.13.2 にリベースされました。主な機能強化は次のとおりです。
-
ansible-freeipaパッケージには、ansible-coreパッケージバージョン 2.15 以上が必要です。ansible-core2.15 と最新バージョンのansible-freeipaは、どちらも Appstream リポジトリーで入手できます。このため、ansible-coreを手動で更新する必要はありません。 -
ansible-freeipaPlaybook 用のアイデンティティー管理 (IdM) サーバーのインベントリーを動的に作成できるようになりました。freeipaプラグインは、ドメイン内の IdM サーバーに関するデータを収集し、指定された IdM サーバーロールが割り当てられているサーバーのみを選択します。たとえば、ドメイン内のすべての IdM DNS サーバーのログを検索して、起こりうる問題を検出する必要がある場合、このプラグインにより、DNS サーバーロールを持つすべての IdM レプリカを検出し、管理対象ノードに自動的に追加できます。 単一の Ansible タスクを使用して複数の Identity Management (IdM) ユーザー、ユーザーグループ、ホスト、およびサービスを追加、変更、削除する
ansible-freeipaPlaybook をより効率的に実行できるようになりました。以前は、ユーザーリスト内の各エントリーに専用の API 呼び出しがありました。この機能強化により、複数の API 呼び出しがタスク内で 1 つの API 呼び出しに結合されます。これと同じことが、ユーザーグループ、ホスト、およびサービスのリストにも適用されます。その結果、
ipauser、ipagroup、ipahost、およびipaserviceモジュールを使用してこれらの IdM オブジェクトを追加、変更、削除する速度が向上します。最大の利点は、クライアントコンテキストを使用すると得られます。ansible-freeipa は、ansible-freeipa-collectionサブパッケージ内の Ansible コレクションとしてロールとモジュールも追加で提供するようになりました。新しいコレクションを使用するには:-
ansible-freeipa-collectionサブパッケージをインストールします。 -
ロールとモジュールの名前に
freeipa.ansible_freeipa接頭辞を追加します。Ansible の推奨事項に従うには、完全修飾名を使用します。たとえば、ipahbacruleモジュールを参照するには、freeipa.ansible_freeipa.ipahbacruleを使用します。
module_defaultsを適用することで、freeipa.ansible_freeipaコレクションの一部であるモジュールの使用を簡素化できます。-
ipa がバージョン 4.9.12 にリベース
ipa パッケージがバージョン 4.9.12 から 4.9.13 に更新されました。主な変更点は、以下のとおりです。
- OTP トークンを提供しないユーザーに対して、LDAP 認証を失敗するように強制できます。
- 信頼できる Active Directory ユーザーを使用して、Identity Management (IdM) クライアントを登録できます。
- FreeIPA のアイデンティティーマッピングに関するドキュメントが利用可能になりました。
-
Python-dnsパッケージがバージョン 2.6.1-1.el10 にリベースされました。 -
ansible-freeipaパッケージが、バージョン 1.11 から 1.12.1 にリベースされました。
詳細は、FreeIPA および ansible-freeipa アップストリームのリリースノートを参照してください。
certmonger が バージョン 0.79.20 にリベースされました
certmonger パッケージがバージョン 0.79.20 にリベースされました。この更新には、さまざまなバグ修正と機能強化が含まれています。主なものは次のとおりです。
- 内部トークン内の新しい証明書の処理が強化され、更新時の削除プロセスが改善されました。
-
CKM_RSA_X_509暗号化メカニズムのトークンに対する制限を削除しました。 -
getcert add-scep-ca、--ca-cert、および--ra-certオプションのドキュメントを修正しました。 - D-Bus サービスと設定ファイルの名前を正規名と一致するように変更しました。
-
getcert-resubmitman ページに欠落していた.TPタグを追加しました。 - SPDX ライセンス形式に移行しました。
-
getcert リスト出力に所有者と権限の情報が含まれるようになりました。 -
cm_certread_n_parse関数で NSS データベースの要件を削除しました。 - Webplate を使用して簡体字中国語、グルジア語、ロシア語の翻訳を追加しました。
samba がバージョン 4.17.5 にリベースされました。
samba パッケージはアップストリームバージョン 4.19.4 にアップグレードされ、以前のバージョンに対するバグ修正と機能拡張が提供されています。主な変更点は以下のとおりです。
-
smbaclsユーティリティーは、任意アクセス制御リスト (DACL) エントリーを保存および復元できるようになりました。この機能は、Windowsicacls.exeユーティリティーの機能を模倣します。 - Samba は条件付きアクセス制御エントリー (ACE) をサポートするようになりました。
-
Samba は、
/var/run/utmpファイルから現在ログオンしているユーザーを読み取らなくなりました。/var/run/utmp が2038 年に対応していない時間形式を使用しているため、この機能はNetWkstaGetInfoレベル 102 およびNetWkstaEnumUsersレベル 0 および 1 関数から削除されました。
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
Jira:RHEL-33645[1]
389-ds-base がバージョン 2.4.5 にリベース
389-ds-base パッケージがバージョン 1.4.3.39 に更新されました。バージョン 2.3.4 への主なバグ修正および機能拡張は、以下のとおりです。
MIT krb5 TCP 接続タイムアウト処理の改善
以前は、TCP 接続は 10 秒後にタイムアウトしていました。この更新により、MIT krb5 TCP 接続処理が変更され、デフォルトのタイムアウトが使用されなくなりました。request_timeout 設定では、個々の TCP 接続の期間ではなく、合計リクエスト期間が制限されるようになりました。この変更により、特に 2 要素認証の使用ケースにおける SSSD との統合の問題が解決されます。その結果、request_timeout 設定によってグローバルリクエストの最大期間が効果的に制御されるようになり、ユーザーは TCP 接続のより一貫した処理を体験できるようになります。
Jira:RHEL-17132[1]
新しい SSSD オプション: failover_primary_timeout
バックアップサーバーに切り替えた後、sssd サービスがプライマリー IdM サーバーに再接続を試行する時間間隔を秒単位で指定するには、failover_primary_timeout オプションを使用します。デフォルト値は 600 秒です。以前は、プライマリーサーバーが利用できない場合、SSSD は 31 秒の固定タイムアウト後に自動的にバックアップサーバーに切り替えていました。
Jira:RHEL-17659[1]
