第40章 認証および相互運用性

グループの検索時に sudo が予期せずアクセスを拒否する

この問題は、システムで以下の条件が合致する場合に発生します。
  • filessss などの複数の Name Service Switch (NSS) ソースで利用可能な sudoers においてグループ名が設定されている。
  • NSS 優先順位がローカルグループの定義に設定されている。/etc/nsswitch.conf ファイルに以下の行が含まれると、これに該当します。
sudoers: files sss
  • match_group_by_gid という名前の sudo のデフォルトオプションが true に設定されている。これがこのオプションのデフォルト値です。
NSS ソースの優先順位のために、sudo ユーティリティーが指定されたグループの GID 検索を試みると、sudo はローカルグループの定義のみを記述した結果を受け取ります。このため、ユーザーがローカルグループではなくリモートグループに属している場合、sudoers ルールが一致せず、sudo がアクセスを拒否します。
この問題を回避するには、以下のいずれかを実行します。
  • sudoersmatch_group_by_gid のデフォルト値を明示的に無効にする。/etc/sudoers ファイルを開いて以下の行を追加します。
Defaults !match_group_by_gid
  • NSS が files よりも sss NSS ソースを優先するように設定する。/etc/nsswitch.conf ファイルを開いて sssfiles の前に来るようにします。
sudoers: sss files
こうすることで、sudo はリモートグループに属するユーザーにアクセスを許可します。(BZ#1293306)

FIPS モードのシステムで CS が Thales HSM とのインストールに失敗する

証明書システム (CS) を Thales ハードウェアセキュリティーモジュール (HSM) とインストールした後、HSM でシステムキーすべてを生成すると、SSL プロトコル が正常に機能しません。このため、CS は FIPS モードが有効になっているシステムでのインストールに失敗します。
この問題を回避するには、2 段階の CS インストール中に、/etc/[instance_name]/server.xml ファイル内の sslRangeCiphers パラメーターを以下のように修正します。
  • 下記のようにプラス記号 (+) を追加して、この暗号を有効にします。
+TLS_DHE_RSA_WITH_AES_128_CBC_SHA,+TLS_DHE_RSA_
WITH_AES_256_CBC_SHA,+TLS_DHE_RSA_WITH_AES_128_
CBC_SHA256,+TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
,+TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,+TLS_RSA_
WITH_AES_128_CBC_SHA256,+TLS_RSA_WITH_AES_256_C
BC_SHA256
  • 他のすべての暗号にマイナス記号 (-) を追加して、無効にします。例を示します。
-TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,-TLS_ECDH_
ECDSA_WITH_3DES_EDE_CBC_SHA
(BZ#1382066)

KCM 認証情報キャッシュが単一の認証情報キャッシュにおける多数の認証情報に適切でない

認証情報キャッシュに過剰な認証情報が含まれると、sssd-kcmsssd-secrets のコンポーネント間の移動に使用されるバッファーのハードコーディング制限のために、klist のような Kerberos 操作が失敗します。
この問題を回避するには、/etc/sssd/sssd.conf ファイルの [kcm] セクションに ccache_storage = memory オプションを追加します。これは、kcm レスポンダーに対してインメモリーでのみ認証情報をキャッシュし、永続的にはキャッシュしないように指示します。これを実行した場合は、システムを再起動するか sssd-kcm を実行して認証情報キャッシュをクリアしてください。(BZ#1448094)

負荷が高いと sssd-secrets コンポーネントがクラッシュする

sssd-secrets コンポーネントが多数のリクエストを受け付けると、Network Security Services (NSS) ライブラリーにバグが発生し、sssd-secrets が予期せず終了します。ただし、systemd サービスが次のリクエストで sssd-secrets を再起動するので、サービス拒否は一時的なものになります。(BZ#1460689)

SSSD が同一優先順位の証明書の一致ルールを正常に処理しない

ある証明書が優先順位が同じ複数の証明書一致ルールに一致する場合、System Security Services Daemon (SSSD) は 1 つのルールしか使用しません。回避策として挙げられるのは、単一の証明書一致ルールを使用することで、このルールの LDAP フィルターが | (or) 演算子で連結されている個別のルールのフィルターで構成されているものにします。証明書一致ルールの例については、sss-certamp(5) man ページを参照してください。(BZ#1447945)

SSSD が ID 上書きで一意の証明書しか検索できない

複数の ID 上書きに同一の証明書が含まれていると、System Security Services Daemon (SSSD) は証明書に一致するユーザーのクエリーを解決することができません。そのようなユーザーの検索を試行しても、ユーザーは返されません。ユーザー名または UID を使ったユーザー検索は予想通り機能することに留意してください。(BZ#1446101)