7.10. Identity Management

ブートストラップスクリプトの実行時に、FreeRADIUS がデフォルトの証明書を誤って生成しなくなりました。

FreeRADIUS が起動するたびに、ブートストラップスクリプトが実行されます。以前のバージョンでは、このスクリプトは /etc/raddb/certs ディレクトリーに新しいテスト証明書を生成し、その結果、これらのテスト証明書は無効なので、FreeRADIUS サーバーが起動できないことがありました。たとえば、証明書の有効期限が切れている場合があります。今回の更新により、ブートストラップスクリプトは /etc/raddb/certs ディレクトリーをチェックし、テストまたはカスタマー証明書が含まれている場合は、スクリプトが実行されず、FreeRADIUS サーバーが正しく起動するはずです。

テスト証明書は、FreeRADIUS の設定中のテスト目的のみで、実際の環境では使用しないでください。ユーザーの証明書が使用されたら、ブートストラップスクリプトを削除する必要があります。

(BZ#1954521)

FreeRADIUS がコアダンプファイルの作成に失敗しなくなる

以前では、allow_core_dumpsyes に設定した場合に、FreeRADIUS がコアダンプファイルを作成していませんでした。そのため、いずれかのプロセスに失敗した場合は、コアダンプファイルが作成されませんでした。今回の更新で、allow_core_dumpsyes に設定すると、いずれかのプロセスが失敗した場合に、FreeRADIUS がコアダンプファイルを作成するようになりました。

(BZ#1977572)

SSSD が、/etc/krb5.conf の Kerberos キータブ名のデフォルト設定を正しく評価

以前は、krb5.keytab ファイルの標準以外の場所を定義した場合は、SSSD はこの場所を使用せず、代わりにデフォルトの /etc/krb5.keytab の場所を使用していました。したがって、システムへのログイン試行時に、/etc/krb5.keytab にエントリーが含まれていないため、ログインに失敗していました。

今回の更新で、SSSD は /etc/krb5.confdefault_keytab_name 変数を評価し、この変数で指定された場所を使用するようになりました。default_keytab_name 変数が設定されていない場合にのみ、SSSD はデフォルトの /etc/krb5.keytab の場所を使用します。

(BZ#1737489)

sudo コマンドを実行しても、KRB5CCNAME 環境変数をエクスポートしなくなりました。

以前のバージョンでは、sudo コマンドの実行後に、環境変数 KRB5CCNAME は、元のユーザーの Kerberos 認証情報キャッシュを参照していましたが、ターゲットユーザーがアクセスできない場合がありました。そのため、このキャッシュにアクセスできないため、Kerberos 関連の操作が失敗する可能性がありました。今回の更新で、sudo コマンドを実行しても KRB5CCNAME 環境変数が設定されなくなり、ターゲットユーザーがデフォルトの Kerberos 認証情報キャッシュを使用できるようになりました。

(BZ#1879869)

Kerberos が許可された暗号化タイプのみを要求

以前では、default_tgs_enctypes または default_tkt_enctypes パラメーターが設定されていないと、RHEL は /etc/krb5.conf ファイルの permitted_enctypes パラメーターで指定された許可された暗号化タイプを適用しませんでした。そのため、Kerberos クライアントは RC4 などの非推奨の暗号スイートをリクエストでき、他のプロセスが失敗する可能性がありました。今回の更新で、RHEL は permitted_enctypes に設定した暗号化タイプをデフォルトの暗号化タイプにも適用し、プロセスは許可された暗号化タイプのみを要求できるようになりました。

Red Hat Identity Management(IdM) を使用して、Active Directory(AD) との信頼を設定する場合は、RHEL 8 で非推奨となった RC4 暗号スイートが、ユーザー、サービス、および AD フォレストの AD ドメイン間の信頼のデフォルト暗号化タイプであることに注意してください。以下のオプションのいずれかを使用できます。

  • (推奨): AD で強力な AES 暗号化タイプを有効にします。詳細は、Microsoft のアーティクル AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain を参照してください。
  • AD ドメインのメンバーである必要のある RHEL ホストで update-crypto-policies --set DEFAULT:AD-SUPPORT コマンドを使用して、AD との後方互換性を確保するために非推奨の RC4 暗号化タイプを有効にします。

(BZ#2005277)

レプリケーションセッションの更新速度が向上しました。

これまでは、チェンジログに大きな更新が含まれている場合、レプリケーションセッションはチェンジログの先頭から開始されていました。これでセッションが遅くなってしまいました。これは、レプリケーションセッション中に、チェンジログからの更新情報を格納するために小さなバッファーを使用したことが原因です。この更新で、レプリケーションセッションは、開始の時点でバッファーが更新を保存するのに十分な大きさであることをチェックします。レプリケーションセッションは、すぐに更新の送信を開始します。

(BZ#1898541)

プラグインで作成したデータベースのインデックスが有効になる

これまでは、サーバープラグインが独自のデータベースインデックスを作成した場合、それらのインデックスを手動で有効にする必要がありました。今回の更新では、デフォルトでインデックスの作成直後から有効になります。

(BZ#1951020)