第30章 認証および相互運用性

アカウントの期限が切れたかどうかを参照するために SSSD が使用する accountExpires 属性は、デフォルトでグローバルカタログにレプリケートされません。GSSAPI 認証を使用する場合に、期限切れのアカウントを持つ AD ユーザーのログインが可能。この問題に対処するには、sssd.conf ファイルで ad_enable_gc=False を指定してグローバルカタログサポートを無効にすることができます。この設定では、GSSAPI 認証を使用する場合に、期限切れのアカウントを持つユーザーはアクセスが拒否されます。SSSD は、このシナリオにおいて各 LDAP サーバーに個別に接続するため、接続数を増やすことができることに注意してください。

Identity Management サーバーに DNS サポートを追加する場合 (たとえば、ipa-dns-install を使用するか、ipa-server-install または ipa-replica-install コマンドで --setup -dns オプションを使用することにより)、スクリプト新しい Identity Management DNS サーバーのホスト名を、(DNS NS レコードを介して) プライマリー Identity Management DNS ゾーン内のネームサーバーのリストに追加します。ただし、DNS ネームサーバーレコードは、Identity Management サーバーが提供する他の DNS ゾーンには追加されません。結果として、非プライマリー DNS ゾーン内のネームサーバーのリストには、DNS ゾーンにサービスを提供する Identity Management ネームサーバーの限られたセットしかありません (ユーザーの介入なしで 1 つだけ)。Identity Management ネームサーバーの限られたセットが使用できない場合、これらの DNS ゾーンは解決できません。この問題を回避するには、新しい Identity Management レプリカを追加するときに、すべての非プライマリー DNS ゾーンに新しい DNS ネームサーバーレコードを手動で追加します。また、レプリカが廃止されるときに、そのような DNS ネームサーバーレコードを手動で削除します。非プライマリー DNS ゾーンは、サービスを提供する一連の Identity Management ネームサーバーを手動で維持することにより、より高い可用性を維持できます。

デフォルトの ユーザーアカウントのロック解除 権限には、ユーザーエントリーのロック解除に必要な nsaccountlock 属性が含まれていません。したがって、この権限が割り当てられた特権ユーザーは、別のユーザーのロックを解除できず、次のようなエラーが表示されます。

ipa: ERROR: Insufficient access: Insufficient 'write' privilege to the 'nsAccountLock' attribute of entry 'uid=user,cn=users,cn=accounts,dc=example,dc=com'.

この問題を回避するには、次のコマンドを実行して、前述の権限で許可されている属性のリストに nssacountlock を追加します。

~]# ipa permission-mod "Unlock user accounts" --attrs={krbLastAdminUnlock,krbLoginFailedCount,nsaccountlock}

その結果、ユーザーアカウントのロック解除 権限が割り当てられたユーザーは、他のユーザーのロックを解除できます。

Identity Management のインストールで使用されるさまざまなツールに複数の問題があり、中間 認証局 (CA) を使用してユーザー提供の証明書をインストールできません。エラーの 1 つは、PKCS#12 ファイルをインポートするときに、中間 CA 証明書に誤った信頼フラグが割り当てられることです。その結果、Identity Management サービスに対して返される不完全な信頼チェーンが原因で、Identity Management サーバーのインストーラーが失敗します。既知の回避策はありません。組み込み認証局によって発行されていない証明書には、信頼チェーンに中間 CA が含まれていてはなりません。

Active Directory (AD) との信頼を表す 軽量ディレクトリーアクセスプロトコル (LDAP) オブジェクトへのアクセス制御は、Identity Management の Trusted Admins グループに与えられます。信頼を確立するには、Identity Management 管理者は Trusted Admins グループのメンバーであるグループに属している必要があり、このグループには相対識別子 (RID) 512 が割り当てられている必要があります。これを確認するには、ipa-adtrust-install コマンドを実行してから ipa group-show admins --all コマンドを実行し、ipantsecurityidentifier フィールドに -512 文字列で終わる値が含まれていることを確認します。フィールドが -512 で終わっていない場合は、ipa group-mod admins --setattr=ipantsecurityidentifier=SID コマンドを使用します。ここで、SID は、ipa group-show admins --all コマンド出力からのフィールドの値です。最後のコンポーネント値 (-XXXX) が -512 文字列に置き換えられます。

Red Hat Enterprise Linux 7 には、Directory Server プラグインである slapi-nis の更新バージョンが含まれています。これにより、Identity Management および Active Directory サービスのユーザーがレガシークライアントで認証できるようになります。ただし、slapi-nis コンポーネントは ID サービスと認証サービスのみを有効にし、ユーザーがパスワードを変更することは許可しません。その結果、slapi-nis 互換性ツリーを介してレガシークライアントにログインしたユーザーは、Identity Management Server セルフサービス Web UI ページを介してのみ、または Active Directory で直接パスワードを変更できます。

ipa host-add コマンドは AAAA レコードの存在を確認しません。結果として、AAAA レコードが存在するにもかかわらず、ホストで使用できる A レコードがない場合、ipa host-add は失敗します。この問題を回避するには、--force オプションを指定して ipa host-add を実行します。

IPA サーバー以外のサービスの SSL 証明書が certmonger サービスによって追跡されている間に、IPA マスターがアンインストールされます。その結果、予期しないエラーが発生し、アンインストールが失敗する可能性があります。この問題を回避するには、certmonger を起動し、ipa-getcert コマンドを実行して追跡された証明書を一覧表示します。次に、ipa-getcert stop-tracking -i <Request ID> コマンドを実行して、certmonger による証明書の追跡を停止し、IPA アンインストールスクリプトを再度実行します。

sssd.conf ファイルで IPA ドメイン設定を生成するときに、ipa-client-install コマンドが --preserve-sssd オプションを正しく処理しません。その結果、IPA ドメインの元の設定が上書きされます。この問題を回避するには、ipa-client-install の 実行後に sssd.conf を確認して、不要な変更を特定し、手動で修正します。

秘密鍵または証明書を含むディレクトリーの SELinux コンテキストが正しくない可能性があります。その結果、ipa-getcert request -k コマンドが失敗し、役に立たないエラーメッセージが表示されます。この問題を回避するには、証明書とキーを含むディレクトリーの SELinux コンテキストを cert_t に設定します。ipa-getcert resubmit -i <Request ID> コマンドを実行して、既存の証明書要求を再送信できます。

特定の状況下で、System Security Services Daemon (SSSD) の Privilege Attribute Certificate (PAC) レスポンダーコンポーネントのアルゴリズムは、多数のグループのメンバーであるユーザーを効果的に処理しません。その結果、KerberosSingle Sign-On (SSO) を使用した Windows クライアントから Red Hat Enterprise Linux クライアントへのロギングが著しく遅くなる可能性があります。現在、既知の回避策はありません。

ipactl restart コマンドでは、Directory Server が実行されている必要があります。したがって、この条件が満たされない場合、ipactl restart は失敗し、エラーメッセージが表示されます。この問題を回避するには、ipactl start コマンドを使用して Directory Server を起動してから、ipactl restart を実行します。ipactl status コマンドを使用すると、Directory Server が実行されているかどうかを確認できます。

システム言語がトルコ語に設定されている場合、証明書サブシステムのインストールに失敗します。この問題を回避するには、/etc/sysconfig/i18n ファイルに次の行を追加して、システム言語を英語に設定します。

LANG="en_US.UTF-8"

また、/etc/sysconfig/i18n 内の他の LANG=エントリーをすべて削除してから、システムを再起動します。再起動後、ipa-server-install を正常に実行でき、/etc/sysconfig/i18n の元の内容が復元される場合があります。

ipa-server-install および ipa-replica-install コマンドは、/etc/ntp.conf ファイル内の NTP サーバーのリストを Red Hat Enterprise Linux デフォルトサーバーに置き換えます。その結果、IPA をインストールする前に設定された NTP サーバーには接続されず、代わりに rhel.pool.ntp.org のサーバーに接続されます。これらのデフォルトサーバーに到達できない場合、IPA サーバーは NTP を介して時刻を同期しません。この問題を回避するには、カスタム NTP サーバーを /etc/ntp.conf に追加し、必要に応じてデフォルトの Red Hat Enterprise Linux サーバーを削除します。systemctl restart ntpd.service コマンドを実行して NTP サービスを再起動すると、設定されたサーバーが時刻 Synchronization に使用されるようになりました。

ユーザーが空のパスワードを入力すると、gnutls ユーティリティーは暗号化されていない秘密鍵の生成に失敗します。この問題を回避するには、次のように パスワード オプションを指定して certtool コマンドを使用します。

~]$ certtool --generate-privkey --pkcs8 --password "" --outfile pkcs8.key