Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第54章 認証および相互運用性
グループルックアップの実行時に sudo
がアクセスを拒否する
この問題は、以下のすべての条件を満たすシステムで発生します。
- グループ名は、
files
やsss
などの複数の Name Service Switch (NSS)ソースで利用可能なsudoers
ルールで設定されます。 - NSS の優先度は、ローカルグループ定義に設定されます。これは、
/etc/nsswitch.conf
ファイルに以下の行が含まれている場合に当てはまります。
sudoers: files sss
match_group_by_gid
という名前のsudo
Defaults オプションはtrue
に設定されます。これは、オプションのデフォルト値です。
NSS ソースの優先度により、
sudo
ユーティリティーが指定されたグループの GID を検索しようとすると、sudo
はローカルグループ定義のみを説明する結果を受け取ります。したがって、ユーザーがリモートグループのメンバーであるが、ローカルグループのメンバーではない場合、sudoers
ルールは一致せず、sudo
はアクセスを拒否します。
この問題を回避するには、以下のいずれかを実行します。
sudoers
のmatch_group_by_gid
デフォルトを明示的に無効にします。/etc/sudoers
ファイルを開き、以下の行を追加します。
Defaults !match_group_by_gid
ファイル
よりもsss
NSS ソースを優先するように NSS を設定します。/etc/nsswitch.conf
ファイルを開き、files
の前にsss
がリストされていることを確認します。
sudoers: sss files
これにより、
sudo
はリモートグループに属するユーザーへのアクセスを許可します。(BZ#1293306)
KCM 認証情報キャッシュは、1 つの認証情報キャッシュ内で多数の認証情報を行うには適していない
認証情報キャッシュに含まれる認証情報が多すぎると、
sssd-kcm
コンポーネントと sssd-secrets
コンポーネント間でデータを転送するために使用されるバッファーにハードコードされた制限があるため、klist
などの Kerberos 操作は失敗します。
この問題を回避するには、
/etc/sssd/sssd.conf
ファイルの [kcm]
セクションに ccache_storage = memory
オプションを追加します。これにより、kcm
レスポンダーが、認証情報キャッシュを永続的ではなく、メモリー内にのみ保存するように指示されます。これを実行すると、システムを再起動するか、sssd-kcm
により認証情報キャッシュがクリアされることに注意してください。(BZ#1448094)
sssd-secrets
コンポーネントは、読み込み中にクラッシュする
sssd-secrets
コンポーネントが多くの要求を受信すると、Network Security Services (NSS)ライブラリーのバグがトリガーされ、sssd-secrets
が予期せず終了します。ただし、systemd
サービスは次の要求に対して sssd-secrets
を再起動します。つまり、サービス拒否は一時的なものです。(BZ#1460689)
SSSD が同じ優先順位を持つ複数の証明書一致ルールを正しく処理しません。
指定した証明書が、優先順位が同じ複数の証明書の一致ルールに一致する場合、System Security Services Daemon (SSSD) は、いずれか一方のみを使用します。回避策として、LDAP フィルターが
|
(または)演算子と連結した個々のルールのフィルターで設定される単一の証明書マッチングルールを使用します。証明書一致ルールの例は、man ページの sss-certamp (5) を参照してください。(BZ#1447945)
SSSD は、ID オーバーライドで一意の証明書のみを検索できる
複数の ID オーバーライドに同じ証明書が含まれる場合、SSSD (System Security Services Daemon) は証明書に一致するユーザーのクエリーを解決できません。これらのユーザーを検索しようとしても、ユーザーは返されません。ユーザー名または UID を使用してユーザーを検索すると、期待通りに機能します。(BZ#1446101)
ipa-advise コマンドは、スマートカード認証を完全に設定しません。
ipa-advise config-server-for-smart-card-auth コマンドおよび ipa-advise config-client-for-smart-card-auth コマンドは、スマートカード認証用に Identity Management (IdM)サーバーおよびクライアントを完全に設定しません。これにより、ipa-advise コマンドが生成したスクリプトを実行すると、スマートカード認証が失敗します。この問題を回避するには、Linux Domain Identity, Authentication, and Policy Guide の個々のユースケースの手動による手順 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html を参照してください。(BZ#1455946)
libwbclient
ライブラリーが、Red Hat Enterprise Linux 7.4 でホストされる Samba 共有に接続できない
Samba と System Security Services Daemon (SSSD) の Winbind プラグインの実装間のインターフェイスが変更されました。ただし、SSSD ではこの変更が欠けています。これにより、Winbind デーモンの代わりに SSSD
libwbclient
ライブラリーを使用するシステムは、Red Hat Enterprise Linux 7.4 で実行している Samba が提供する共有にアクセスできなくなります。利用可能な回避策はありません。Winbind デーモンを実行せずに libwbclient
ライブラリーを使用している場合は、Red Hat Enterprise 7.4 にアップグレードしないことを推奨します。(BZ#1462769)
Certificate System ubsystem で、TLS_ECDHE_RSA_*
暗号および特定の HSM で通信の問題が発生しました。
TLS_ECDHE_RSA_*
暗号が有効な場合に特定の HSM を使用すると、サブシステムで通信の問題が発生します。この問題は、以下のシナリオで発生します。
- CA がインストールされた後、2 番目のサブシステムをインストールする際に、セキュリティードメインとして CA にコンタクトしようとするため、正常にインストールすることができません。
- CA で証明書登録を実行している最中にアーカイブが必要になると、CA が KRA と同じ通信問題に遭遇します。このシナリオは、問題のある暗号がインストールで一時的に無効になっている場合に限り発生します。
この問題を回避するには、可能な場合は
TLS_ECDHE_RSA_*
暗号をオフのままにします。Perfect Forward Secrecy は、TLS_ECDHE_RSA_*
暗号を使用してセキュリティーを強化しますが、各 SSL セッションの確立には約 3 倍の時間がかかることに注意してください。また、Certificate System の操作には、デフォルトの TLS_RSA_*
暗号で十分です。(BZ#1256901)