Red Hat Summit4.14. Identity Management
ipa-healthcheck が証明書の有効期限切れについて警告するようになりました
この更新により、ipa-healthcheck ツールは、ユーザーが提供した HTTP、DS、および PKINIT 証明書の有効期限を評価し、有効期限の 28 日前に警告を発するようになりました。これは、証明書の有効期限が見落とされ、ダウンタイムが発生する可能性を防ぐためです。
Jira:RHELDOCS-20303[1]
ansible-freeipa が 1.15.1 にリベースされました
Red Hat Identity Management (IdM) 環境を管理するためのモジュールとロールを提供する ansible-freeipa パッケージが、バージョン 1.13.2 から 1.15.1 にリベースされました。この更新には、次の機能拡張が含まれています。
-
ansible-freeipaのansible-freeipa-collectionサブパッケージが、Red Hat Ansible Automation Hub (RH AAH) によって提供されるredhat.rhel_idmコレクションの名前空間および名前と互換性を持つようになりました。RPM コレクションサブパッケージをインストールした場合、AAH のロールとモジュールを参照する Playbook を実行できるようになりました。内部的には、RPM コレクションサブパッケージの名前空間と名前が使用されることに注意してください。
Jira:RHELDOCS-21029[1]
レガシーシステムとの互換性を保つために、IdM が Linux の UID 上限までの UID をサポートするようになりました
この更新により、最大 4,294,967,293 (2^32-1) までのユーザー ID とグループ ID を使用できるようになりました。これにより、IdM の最大値が Linux の UID 上限値と一致するようになりました。これは、標準の IdM の範囲 (2,147,483,647 まで) では不十分となるまれなケースで役立ちます。具体的には、完全な 32 ビット POSIX ID 空間を必要とするレガシーシステムと並行して IdM をデプロできるようになります。
標準的なデプロイメントでは、IdM は subID 用に 2,147,483,648 - 4,294,836,223 の範囲を予約します。2^31 から 2^32-1 までの UID 範囲を使用するには、subID 機能を無効にする必要があるため、最新の Linux 機能と競合します。
2^32-1 までの UID を有効にするには、以下を実行します。
subID 機能を無効にします。
ipa config-mod --addattr ipaconfigstring=SubID:Disable
$ ipa config-mod --addattr ipaconfigstring=SubID:DisableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 既存の subID 範囲を削除します。
ipa idrange-del <id_range>
$ ipa idrange-del <id_range>Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM サーバーで、内部 DNA プラグイン設定が正しく削除されていることを確認します。
ipa-server-upgrade
# ipa-server-upgradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 2^31 から 2^32-1 までの空間を含む新しいローカル ID 範囲を追加します。IdM がユーザーとグループの SID を適切に生成できるように、この新しい範囲の RID ベースを定義してください。
subID 機能を無効にできるのは、subID がまだ割り当てられていない場合だけです。
Jira:RHEL-84277[1]
krbLastSuccessfulAuth が有効な場合、Healthcheck が警告を表示します
ipaConfigString 属性で krbLastSuccessfulAuth 設定を有効にすると、多数のユーザーが同時に認証する場合にパフォーマンスの問題が発生する可能性があります。したがって、この設定はデフォルトでは無効になっています。この更新により、krbLastSuccessfulAuth が有効になっている場合、パフォーマンスの問題が発生する可能性があることを警告するメッセージを Healthcheck が表示するようになりました。
IdM 間の移行が利用可能になりました
以前はテクノロジープレビューとして提供されていた IdM 間の移行が、このリリースで完全にサポートされるようになりました。ipa-migrate コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを、ある IdM サーバーから別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合に役立ちます。
Jira:RHELDOCS-19500[1]
samba がバージョン 4.22.4 にリベースされました
samba パッケージがアップストリームバージョン 4.22.4 に更新されました。このバージョンでは、バグ修正および機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- Samba が、サーバーメッセージブロックバージョン 3 (SMB3) ディレクトリーリースに対応しました。この機能拡張により、クライアントがディレクトリーリストをキャッシュできるようになり、ネットワークトラフィックが削減され、パフォーマンスが向上します。
-
Samba が、従来のポート 389 UDP メソッドの代わりに、TCP ベースの LDAP または LDAPS を使用してドメインコントローラー (DC) 情報を問い合わせる機能に対応しました。この機能拡張により、ファイアウォールで制限された環境との互換性が向上します。
client netlogon ping protocolパラメーター (デフォルト値:CLADP) を使用してプロトコルを設定できます。 次の設定パラメーターが削除されました。
-
nmbd_proxy_logon: この設定は、Samba が独自の NetBIOS over TCP/IP (NBT) サーバーを導入する前に、NetLogon 認証要求を Windows NT4 プライマリードメインコントローラー (PDC) に転送するために使用されていました。 -
cldap port: Connectionless Lightweight Directory Access Protocol (CLDAP) は常に UDP ポート 389 を使用します。また、Samba コードではこのパラメーターが一貫して使用されていなかったため、動作に一貫性がありませんでした。 -
fruit:posix_rename:vfs_fruitモジュールのこのオプションは、Windows クライアントで問題を引き起こす可能性があるため削除されました。MacOS では、ネットワークマウント上での.DS_Storeファイルの作成を防ぐための回避策として、defaults write com.apple.desktopservices DSDontWriteNetworkStores trueコマンドを使用してください。
-
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前に、データベースファイルをバックアップしてください。Samba は、smbd、nmbd、または winbind サービスが起動すると、tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
389-ds-base がバージョン 2.7.0 にリベースされました
389-ds-base パッケージがバージョン 2.7.0 に更新されました。
dsctl healthcheck が、メンバーシップ属性に対する部分文字列インデックスの作成について警告するようになりました
メンバーシップ属性を含むエントリーは通常、多数のメンバーを持つグループです。値セットを変更する場合、単一のメンバーの削除などの小さな変更の場合でも、部分文字列インデックスのコストは非常に高くなります。現在、部分文字列インデックスタイプを追加すると、dsctl healthcheck は、メンバーシップ属性の部分文字列インデックスのコストが高くなる可能性があることを警告し、次のエラーメッセージを表示します。
DSMOLE0002。メンバーシップ属性に部分文字列インデックスが設定されている場合、大規模なグループからのメンバーの削除に時間がかかることがあります。
Jira:RHEL-81141[1]
属性の一意性を検索するための Attribute Uniqueness プラグインのカスタムマッチングルール
この更新により、Attribute Uniqueness プラグインの設定で、一意性を強制する属性のマッチングルールを指定できるようになりました。これは、属性の構文を case exact や case ignore からオーバーライドする場合などに使用できます。
プラグイン設定で、属性とそのマッチングルールを次のように指定してください。
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
この更新前は、case exact 構文で属性 cn を使用した場合、比較する 2 つの値の大文字と小文字が異なると、Attribute Uniqueness プラグインは一致する値を検出できませんでした。現在は、管理者がマッチングルールを設定して case ignore に設定できるため、プラグインによって値が一致すると認識されます。
uniqueness-attribute-name: cn:caseIgnoreMatch:
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109034[1]
cockpit-session-recording が 20-1.el9 にリベースされました
cockpit-session-recording パッケージが、アップストリームバージョン 20-1.el9 にリベースされました。これは、Cockpit Web インターフェイスを通じて実行されるユーザーセッションを記録するパッケージです。このパッケージは、PatternFly 6 ユーザーインターフェイスシステムデザインに移行されました。
ACME サーバーに ES256 署名アルゴリズムのサポートが追加されました
以前は、Automatic Certificate Management Environment (ACME) サーバーは、JSON Web Key (JWK) 検証用の ES256 署名アルゴリズムをサポートしていませんでした。このアルゴリズムのサポートが欠けていたため、Caddy Web サーバーなどの特定のクライアントが、証明書を正常に取得できませんでした。
この更新により、ACME サーバーが強化され、JWK 検証用の ES256 署名アルゴリズムがサポートされるようになりました。
その結果、サーバーは Caddy Web サーバーなどの ES256 を使用するクライアントと相互運用できるようになりました。これにより、クライアントが証明書を正常に取得して、セキュアな HTTPS 通信を確立できるようになりました。
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-21376[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}