Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第54章 認証および相互運用性

グループルックアップの実行時に sudo がアクセスを拒否する

この問題は、以下のすべての条件を満たすシステムで発生します。
  • グループ名は、filessss などの複数の Name Service Switch (NSS)ソースで利用可能な sudoers ルールで設定されます。
  • NSS の優先度は、ローカルグループ定義に設定されます。これは、/etc/nsswitch.conf ファイルに以下の行が含まれている場合に当てはまります。 
sudoers: files sss
  • match_group_by_gid という名前の sudo Defaults オプションは true に設定されます。これは、オプションのデフォルト値です。
NSS ソースの優先度により、sudo ユーティリティーが指定されたグループの GID を検索しようとすると、sudo はローカルグループ定義のみを説明する結果を受け取ります。したがって、ユーザーがリモートグループのメンバーであるが、ローカルグループのメンバーではない場合、sudoers ルールは一致せず、sudo はアクセスを拒否します。
この問題を回避するには、以下のいずれかを実行します。
  • sudoersmatch_group_by_gid デフォルトを明示的に無効にします。/etc/sudoers ファイルを開き、以下の行を追加します。 
Defaults !match_group_by_gid
  • ファイル よりも sss NSS ソースを優先するように NSS を設定します。/etc/nsswitch.conf ファイルを開き、files の前に sss がリストされていることを確認します。 
sudoers: sss files
これにより、sudo はリモートグループに属するユーザーへのアクセスを許可します。(BZ#1293306)

KCM 認証情報キャッシュは、1 つの認証情報キャッシュ内で多数の認証情報を行うには適していない

認証情報キャッシュに含まれる認証情報が多すぎると、sssd-kcm コンポーネントと sssd-secrets コンポーネント間でデータを転送するために使用されるバッファーにハードコードされた制限があるため、klist などの Kerberos 操作は失敗します。
この問題を回避するには、/etc/sssd/sssd.conf ファイルの [kcm] セクションに ccache_storage = memory オプションを追加します。これにより、kcm レスポンダーが、認証情報キャッシュを永続的ではなく、メモリー内にのみ保存するように指示されます。これを実行すると、システムを再起動するか、sssd-kcm により認証情報キャッシュがクリアされることに注意してください。(BZ#1448094)

sssd-secrets コンポーネントは、読み込み中にクラッシュする

sssd-secrets コンポーネントが多くの要求を受信すると、Network Security Services (NSS)ライブラリーのバグがトリガーされ、sssd-secrets が予期せず終了します。ただし、systemd サービスは次の要求に対して sssd-secrets を再起動します。つまり、サービス拒否は一時的なものです。(BZ#1460689)

SSSD が同じ優先順位を持つ複数の証明書一致ルールを正しく処理しません。

指定した証明書が、優先順位が同じ複数の証明書の一致ルールに一致する場合、System Security Services Daemon (SSSD) は、いずれか一方のみを使用します。回避策として、LDAP フィルターが | (または)演算子と連結した個々のルールのフィルターで設定される単一の証明書マッチングルールを使用します。証明書一致ルールの例は、man ページの sss-certamp (5) を参照してください。(BZ#1447945)

SSSD は、ID オーバーライドで一意の証明書のみを検索できる

複数の ID オーバーライドに同じ証明書が含まれる場合、SSSD (System Security Services Daemon) は証明書に一致するユーザーのクエリーを解決できません。これらのユーザーを検索しようとしても、ユーザーは返されません。ユーザー名または UID を使用してユーザーを検索すると、期待通りに機能します。(BZ#1446101)

ipa-advise コマンドは、スマートカード認証を完全に設定しません。

ipa-advise config-server-for-smart-card-auth コマンドおよび ipa-advise config-client-for-smart-card-auth コマンドは、スマートカード認証用に Identity Management (IdM)サーバーおよびクライアントを完全に設定しません。これにより、ipa-advise コマンドが生成したスクリプトを実行すると、スマートカード認証が失敗します。この問題を回避するには、Linux Domain Identity, Authentication, and Policy Guide の個々のユースケースの手動による手順 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html を参照してください。(BZ#1455946)

libwbclient ライブラリーが、Red Hat Enterprise Linux 7.4 でホストされる Samba 共有に接続できない

Samba と System Security Services Daemon (SSSD) の Winbind プラグインの実装間のインターフェイスが変更されました。ただし、SSSD ではこの変更が欠けています。これにより、Winbind デーモンの代わりに SSSD libwbclient ライブラリーを使用するシステムは、Red Hat Enterprise Linux 7.4 で実行している Samba が提供する共有にアクセスできなくなります。利用可能な回避策はありません。Winbind デーモンを実行せずに libwbclient ライブラリーを使用している場合は、Red Hat Enterprise 7.4 にアップグレードしないことを推奨します。(BZ#1462769)

Certificate System ubsystem で、TLS_ECDHE_RSA_* 暗号および特定の HSM で通信の問題が発生しました。

TLS_ECDHE_RSA_* 暗号が有効な場合に特定の HSM を使用すると、サブシステムで通信の問題が発生します。この問題は、以下のシナリオで発生します。
  • CA がインストールされた後、2 番目のサブシステムをインストールする際に、セキュリティードメインとして CA にコンタクトしようとするため、正常にインストールすることができません。
  • CA で証明書登録を実行している最中にアーカイブが必要になると、CA が KRA と同じ通信問題に遭遇します。このシナリオは、問題のある暗号がインストールで一時的に無効になっている場合に限り発生します。
この問題を回避するには、可能な場合は TLS_ECDHE_RSA_* 暗号をオフのままにします。Perfect Forward Secrecy は、TLS_ECDHE_RSA_* 暗号を使用してセキュリティーを強化しますが、各 SSL セッションの確立には約 3 倍の時間がかかることに注意してください。また、Certificate System の操作には、デフォルトの TLS_RSA_* 暗号で十分です。(BZ#1256901)