第8章 既知の問題
本章では、Red Hat Enterprise Linux 7.7 の既知の問題を説明します。
8.1. 認証および相互運用性
ID 範囲の変更を適用する際の一貫性のない警告メッセージ
RHEL Identity Management (IdM) では、ローカルの IdM ドメインまたは信頼された Active Directory ドメインに関連付けられた複数の ID 範囲 (ID 範囲) を定義できます。ID 範囲に関する情報は、登録されているすべてのシステムの SSSD デーモンによって取得されます。
ID 範囲プロパティーを変更するには、SSSD を再起動する必要があります。以前は、SSSD を再起動する必要があるという警告はありませんでした。RHEL 7.7 では、SSSD の再起動が必要な方法で ID 範囲プロパティーが変更された場合に表示される警告が追加されます。
現在、警告メッセージは一貫性のない単語を使用しています。警告メッセージの目的は、ID 範囲を消費する IdM システムで SSSD の再起動を要求することです。ID 範囲の詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/managing-unique_uid_and_gid_attributes を参照してください。
ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク。
ID ルックアップに TLS を使用せずに ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。
現在、TLS を強制する SSSD 設定オプション ldap_id_use_start_tls は、デフォルトで false に設定されています。セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad および id_provider = ipa は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、/etc/sssd/sssd.conf ファイルで ldap_id_use_start_tls オプションを true に設定して TLS を強制します。デフォルトの動作は、RHEL の将来のリリースで変更される予定です。
(JIRA:RHELPLAN-155168)
