5.12. ID 管理
IdM が新しい Ansible 管理モジュールに対応するようになりました。
今回の更新で、Ansible Playbook を使用して一般的な Identity Management (IdM) タスクを自動化する複数の ansible-freeipa モジュールが導入されました。
-
ipauserモジュールはユーザーの追加と削除を自動化します。 -
ipagroupモジュールは、ユーザーグループに対するユーザーとユーザーグループの追加や削除を自動化します。 -
ipahostモジュールはホストの追加と削除を自動化します。 -
ipahostgroupモジュールは、ホストグループに対するホストとホストグループの追加や削除を自動化します。 -
ipasudoruleモジュールは、sudoコマンドとsudoルールの管理を自動化します。 -
ipapwpolicyモジュールは、IdM のパスワードポリシーの設定を自動化します。 -
ipahbacruleモジュールは、IdM のホストベースのアクセス制御管理を自動化します。
2 つ以上の ipauser 呼び出しを users 変数を含む呼び出し 1 つに統合するか、これらのユーザーを含む JSON ファイルを使用できる点に注意してください。同様に 2 つ以上の ipahost 呼び出しを hosts 変数を含む 1 つの呼び出しに統合するか、ホストを含む JSON ファイルを使用します。ipahost モジュールは、ホストの IPv4 と IPv6 アドレスの有無も確認できます。
(JIRA:RHELPLAN-37713)
IdM Healthcheck は DNS レコードのスクリーニングに対応するようになりました。
今回の更新で、Identity Management (IdM) サーバーで DNS レコードのスタンドアロンの手動テストが導入されました。
このテストでは Healthcheck ツールを使用し、etc/resolv.conf ファイルのローカルリゾルバーで DNS クエリーを実行します。このテストでは、自動検出に必要な DNS レコードが解決可能であることを確認します。
(JIRA:RHELPLAN-37777)
SSSD を使用した RHEL の AD への直接統合が FIPS に対応するようになりました。
今回の機能強化により、SSSD (System Services Security Daemon) で、認証メカニズムが FIPS (Federal Information Processing Standard) で承認された暗号化タイプを使用する Active Directory (AD) デプロイメントと統合できるようになりました。この機能拡張により、FIPS 基準を満たす必要がある環境で、RHEL システムを AD に直接統合できます。
SMB1 プロトコルは、Samba サーバーおよびクライアントユーティリティーでデフォルトで無効になっています。
Server Message Block バージョン 1 (SMB1) プロトコルが非推奨になったため、Samba 4.11 では、server min protocol および client min protocol パラメーターのデフォルト値が NT1 から SMB2_02 に変更になりました。/etc/samba/smb.conf ファイルにこれらのパラメーターを設定していない場合は、以下のとおりです。
- SMB1 のみをサポートするクライアントは、Samba サーバーに接続できなくなりました。
-
smbclientなどの Samba クライアントユーティリティーとlibsmbclientライブラリーは、SMB1 のみをサポートするサーバーへの接続に失敗します。
Red Hat は、SMB1 プロトコルの使用を推奨していません。ただし、環境で SMB1 が必要な場合は、手動でプロトコルを再度有効にすることができます。
Samba サーバーで SMB1 を再度有効にするには、以下を実行します。
-
以下の設定を
/etc/samba/smb.confファイルに追加します。
server min protocol = NT1
-
smbサービスを再起動します。
# systemctl restart smb
Samba クライアントユーティリティーおよび libsmbclient ライブラリーの SMB1 を再度有効にするには、以下を実行します。
-
以下の設定を
/etc/samba/smb.confファイルに追加します。
client min protocol = NT1
-
smbサービスを再起動します。
# systemctl restart smb
SMB1 プロトコルは今後の Samba リリースで削除される予定ですので留意してください。
samba がバージョン 4.11.2 にリベースされました。
samba パッケージがアップストリームバージョン 4.11.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
-
デフォルトで、Server Message Block バージョン 1 (SMB1) プロトコルが、Samba サーバー、クライアントユーティリティー、および
libsmbclientライブラリーで無効になりました。ただし、引き続き、server min protocolとclient min protocolパラメーターを手動でNT1に設定し、再度 SMB1 を有効にすることは可能です。Red Hat は、SMB1 プロトコルを再度有効にすることは推奨していません。 -
lanman authおよびencrypt passwordsパラメーターは非推奨となっています。これらのパラメーターは、セキュアでない認証を有効とするもので、非推奨の SMB1 プロトコルでしか利用できません。 -
-oパラメーターが、onodeClustered Trivial Database (CTDB) ユーティリティーから削除されました。 - Samba は暗号化に GnuTLS ライブラリーを使用するようになりました。これにより、RHEL の FIPS モードが有効な場合には、Samba は FIPS 標準に準拠します。
-
CPU スレッドの 90% を超えて使用される場合に、
ctdbdサービスがログ記録するようになりました。 - 非推奨の Python 2 サポートが削除されました。
smbd、nmbd、または winbind サービスが起動すると、Samba は tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。
主な変更の詳細は、更新前にアップストリームのリリースノート https://www.samba.org/samba/history/samba-4.11.0.html を参照してください。
Directory Server がバージョン 1.4.2.4 にリベースされました。
389-ds-base パッケージがアップストリームバージョン 1.4.2.4 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧は、更新前にアップストリームのリリースノートを参照してください。
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-2-4.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-2-3.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-2-2.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-2-1.html
一部のレガシースクリプトが Directory Server で置き換えられました。
今回の機能強化では、Directory Server ではサポートされていないレガシースクリプトの dbverify、validate-syntax.pl、cl-dump.pl、fixup-memberuid.pl、および repl-monitor.pl の代替が提供されます。これらのスクリプトは以下のコマンドに置き換えられました。
-
dbverify:dsctl instance_name dbverify -
validate-syntax.pl:dsconf schema validate-syntax -
cl-dump.pl:dsconf replication dump-changelog -
fixup-memberuid.pl:dsconf plugin posix-winsync fixup -
repl-monitor.pl:dsconf replication monitor
すべてのレガシースクリプトとその代替の一覧については、「Command-line utilities replaced in Red Hat Directory Server 11」を参照してください。
非表示のレプリカとしての IdM の設定を完全にサポートするようになりました。
RHEL 8.2 の Identity Management (IdM) では、非表示のレプリカとしての IdM サーバーの設定を完全にサポートします。非表示のレプリカは、稼働中および利用できるすべてのサービスが含まれる IdM サーバーです。ただし、DNS のサービスに SRV レコードが存在せず、LDAP サーバーロールが有効になっていないため、他のクライアントやマスターには通知されません。そのため、クライアントはサービス検出を使用して隠しレプリカを検出することはできません。
隠しレプリカは主にクライアントを中断できる専用のサービス用に設計されています。たとえば、IdM の完全バックアップは、マスターまたはレプリカ上のすべての IdM サービスをシャットダウンする必要があります。非表示のレプリカを使用するクライアントはないため、管理者はクライアントに影響を与えることなく、このホスト上のサービスを一時的にシャットダウンできます。その他のユースケースには、大量インポートや詳細なクエリーなど、IdM API または LDAP サーバーの高負荷操作が含まれます。
隠しレプリカを新たにインストールするには、ipa-replica-install -- hidden-replica コマンドを使用します。既存のレプリカの状態を変更するには、ipa server-state コマンドを使用します。
詳細は、「IdM 非表示レプリカのインストール」を参照してください。
Kerberos チケットポリシーが認証インジケーターをサポートするようになりました。
認証インジケーターは、チケットを取得するために使用される事前認証メカニズムに基づいて Kerberos チケットに割り当てられます。
-
otp- 2 要素認証 (パスワード + OTP) -
radius- RADIUS 認証 -
pkinit- PKINIT、スマートカード、または証明書での認証 -
hardened- 強化パスワード (SPAKE または FAST)
Kerberos Distribution Center (KDC) は、認証インジケーターに基づくサービスチケット要求で、サービスアクセス制御、チケットの最大有効期間、および更新可能な期間などのポリシーを強制できます。
今回の機能強化により、管理者はユーザーのチケットから特定の認証インジケーターを要求することで、サービスチケットの発行をより詳細に制御できるようになりました。
krb5 パッケージは FIPS に準拠するようになりました。
今回の機能強化により、準拠していない暗号は禁止されるようになりました。これにより、管理者は FIPS が集計する環境で Kerberos を使用できます。
(BZ#1754690)
Directory Server は、システム全体の暗号化ポリシーに基づいて sslVersionMin パラメーターを設定します。
デフォルトでは、Directory Server は、システム全体の暗号化ポリシーに基づいて sslVersionMin パラメーターの値を設定するようになりました。/etc/crypto-policies/config ファイルでポリシープロファイルを以下のように設定します。
-
DEFAULT、FUTURE、またはFIPS、Directory Server はsslVersionMinをTLS1.2に設定します。 -
LEGACY、Directory Server はsslVersionMinをTLS1.0に設定します。
ように、sslVersionMin は、crypto ポリシーで定義されている値よりも高い値に手動で設定できます。
# dsconf -D "cn=Directory Manager" __ldap://server.example.com__ security set --tls-protocol-min TLS1.3
(BZ#1828727)
このページには機械翻訳が使用されている場合があります (詳細はこちら)。