9.11. Identity Management
openssh-ldap が非推奨に
openssh-ldap サブパッケージは、Red Hat Enterprise Linux 8 で非推奨になり、RHEL 9 で削除されます。openssh-ldap サブパッケージはアップストリームでは維持されないため、Red Hat は SSSD と sss_ssh_authorizedkeys ヘルパーを使用することを推奨しています。これは、他の IdM ソリューションよりも適切に統合でき、安全です。
デフォルトでは、ldap および ipa プロバイダーはユーザーオブジェクトの sshPublicKey LDAP 属性を読み取ります (利用可能な場合)。AD (Active Directory) には公開鍵を保存するためのデフォルトの LDAP 属性がないため、ad プロバイダーまたは IdM の信頼されるドメインのデフォルト SSSD 設定を使用して AD から SSH 公開鍵を取得することはできません。
sss_ssh_authorizedkeys ヘルパーが SSSD から鍵を取得できるようにするには、sssd.conf ファイルの services オプションに ssh を追加して ssh レスポンダーを有効にします。詳細は man ページの sssd.conf(5) を参照してください。
sshd が sss_ssh_authorizedkeys を使用できるようにするには、man ページの sss_ssh_authorizedkeys(1) に記載されているように、AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys および AuthorizedKeysCommandUser nobody オプションを /etc/ssh/sshd_config ファイルに追加します。
DES および 3DES 暗号化タイプが削除されました。
RHEL 7 以降、セキュリティー上の理由から、データ暗号化標準 (DES) アルゴリズムが非推奨になり、デフォルトで無効化になりました。Kerberos パッケージの最近のリベースで、RHEL 8 からシングル DES (DES) およびトリプル DES (3DES) の暗号化タイプが削除されました。
DES または 3DES の暗号化のみを使用するようにサービスまたはユーザーが設定されている場合、以下のようなサービスの中断が発生する可能性があります。
- Kerberos 認証エラー
-
unknown enctype暗号化エラー -
DES で暗号化されたデータベースマスターキー (
K/M) を使用した KDC (Kerberos Distribution Center) が起動しない
アップグレードを準備するには、以下の操作を実施します。
-
KDC が
krb5checkオープンソース Python スクリプトで DES または 3DES 暗号化を使用しているかどうかを確認します。GitHub の krb5check を参照してください。 - Kerberos プリンシパルで DES または 3DES 暗号化を使用している場合は、Advanced Encryption Standard (AES) などのサポート対象の暗号化タイプでキーを変更します。キー変更の手順については、MIT Kerberos ドキュメントの Retiring DES を参照してください。
アップグレードの前に以下の Kerberos オプションを一時的に設定して、DES および 3DES からの独立性をテストします。
-
KDC の
/var/kerberos/krb5kdc/kdc.confで、supported_enctypesを設定し、desまたはdes3は含まれません。 -
すべてのホストについて、
/etc/krb5.confおよび/etc/krb5.conf.dのすべてのファイルで、allow_weak_cryptoをfalseに設定します。デフォルトは false です。 -
すべてのホストについて、
/etc/krb5.confおよび/etc/krb5.conf.dのすべてのファイルで、permitted_enctypes、default_tgs_enctypes、default_tkt_enctypesを設定します。また、desまたはdes3は含めません。
-
KDC の
- 前の手順で Kerberos 設定をテストしてサービスが中断されない場合は、サービスを削除してアップグレードします。最新の Kerberos パッケージにアップグレードした後は、この設定は必要ありません。
ctdb サービスのスタンドアロン使用が非推奨になりました。
RHEL 8.4 の時点では、以下の条件がすべて適用されている場合に限り、ctdb クラスター Samba サービスを使用することが推奨されます。
-
ctdbサービスは、resource-agentctdbを使用してpacemakerリソースとして管理されます。 -
ctdbサービスは、Red Hat Gluster Storage 製品または GFS2 ファイルシステムが提供する GlusterFS ファイルシステムのいずれかが含まれるストレージボリュームを使用します。
ctdb サービスのスタンドアロンユースケースは非推奨となり、Red Hat Enterprise Linux の次期メジャーリリースには含まれません。Samba のサポートポリシーの詳細は、ナレッジベースの記事 Support Policies for RHEL Resilient Storage - ctdb General Policies を参照してください。
(BZ#1916296)
Samba を PDC または BDC として実行することは非推奨になりました。
管理者が Samba を NT4 のようなプライマリードメインコントローラー (PDC) として実行し、バックアップドメインコントローラー (BDC) を実行できるようにする従来のドメインコントローラーモードが非推奨になりました。これらのモードを設定するためのコードおよび設定は、今後の Samba リリースで削除されます。
RHEL 8 の Samba バージョンが PDC モードおよび BDC モードを提供している限り、Red Hat は、NT4 ドメインに対応する Windows バージョンを使用する既存のインストールでのみ、これらのモードをサポートします。Red Hat は、新規の Samba NT4 ドメインのセットアップを推奨しません。なぜなら、Microsoft のオペレーティングシステム (Windows 7 以降) および Windows Server 2008 R2 は、NT4 ドメインをサポートしないからです。
PDC を使用して Linux ユーザーのみを認証する場合、Red Hat は、RHEL サブスクリプションに含まれる Red Hat Identity Management (IdM) への移行を推奨します。ただし、Windows システムを IdM ドメインに参加させることはできません。Red Hat は、引き続き IdM が使用する PDC 機能のサポートを継続することに注意してください。
Red Hat は、Samba を AD ドメインコントローラー (DC) として実行することはサポートしていません。
SSSD バージョンの libwbclient が非推奨に
winbind サービスを実行せずに、Samba smbd サービスが AD からユーザーおよびグループ情報を取得できるように、libwbclient パッケージの SSSD 実装が追加されました。Samba では、winbind サービスが実行しており、AD との通信を処理する必要があるため、セキュリティー上の理由から、関連するコードが smdb から削除されました。この追加機能は SSSD の一部ではなく、新しいバージョンの Samba では libwbclient の SSSD 実装を使用することはできません。そのため、libwbclient の SSSD 実装は非推奨になりました。
SMB1 プロトコルは Samba では非推奨に
Samba 4.11 以降、安全でない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。
セキュリティーを向上させるために、デフォルトでは、Samba サーバーおよびクライアントユーティリティーで SMB1 が無効になっています。
Jira:RHELDOCS-16612
