以前のバージョンの Red Hat Enterprise Linux (RHEL) における OpenLDAP スイートは、暗号化目的で Mozilla Network Security Services (NSS) を使用しました。RHEL 8 を使用して、OpenLDAP コミュニティーがサポートする OpenSSL は NSS を置き換えます。証明書およびキーを保存する NSS データベースをサポートしません。ただし、同じ目的を担う PEM (Privacy Enhanced Mail) ファイルをサポートします。

Red Hat Enterprise Linux (RHEL) 8 では、python-gssapi パッケージが、python-krbV、python-kerberos、python-requests-kerberos、python-urllib2_kerberos などの Python Kerberos パッケージに置き換えられました。重要な利点には、以下のようなものがあります。

GSSAPI ベースのパッケージは、後方互換性のために、Kerberos だけでなく、NT LAN Manager NTLM など、その他の Generic Security Services API (GSSAPI) メカニズムを使用できます。

この更新により、RHEL 8 の GSSAPI の保守性とデバッグ可能性が向上します。

RHEL 8 では、ad_gpo_access_control オプションのデフォルト設定が enforcing になっており、Active Directory Group Policy Objects (GPO) に基づくアクセス制御ルールが評価および強制されます。

一方、RHEL 7 のこのオプションのデフォルトは Permissive です。これは評価されますが、GPO ベースのアクセス制御ルールを実施しません。Permissive モードでは、ユーザーが GPO からアクセスを拒否するたびに syslog メッセージが記録されますが、これらのユーザーはログインできます。

GPO の詳細は、「RHEL でのグループポリシーオブジェクトアクセス制御の適用」およびsssd-ad man ページの ad_gpo_access_control エントリーを参照してください。

RHEL 8 では、authconfig ユーティリティーに代わり、authselect ユーティリティーが導入されました。authselect には、システム管理者が PAM 設定変更を簡単に行える、より安全な PAM スタック管理アプローチが含まれています。authselect は、パスワード、証明書、スマートカード、フィンガープリントなどの認証方法を設定するのに使用できます。authselect では、リモートドメインに参加するのに必要なサービスを設定しません。このタスクは、realmd、ipa-client-install のような専門のツールにより実行されます。

RHEL 8 でデフォルトの認証情報キャッシュストレージは、sssd-kcm デーモンにより強化されている Kerberos Credential Manager (KCM) です。KCM では、以前使用されていた KEYRING の制限 (名前空間がないためにコンテナー化された環境での使用や、クォータの表示および管理が困難など) が解消されています。

今回の更新で、RHEL 8 には、コンテナー環境により適した認証情報キャッシュが含まれ、将来のリリースでより多くの機能を構築するための基盤が提供されます。

今回の更新で、System Security Services Daemon (SSSD) の sssctl ユーティリティーは、Identity Management (IdM) ドメインのアクセス制御レポートを出力できるようになりました。この機能は、規制上の理由から、特定のクライアントマシンにアクセスできるユーザーとグループの一覧を表示するニーズを満たします。IdM クライアントで sssctl access-report domain_name を実行すると、クライアントマシンに適用する IdM ドメインで解析されたホストベースのアクセス制御 (HBAC) ルールのサブセットを表示します。

IdM 以外のプロバイダーは、この機能に対応していません。

RHEL 8 の System Security Services Daemon (SSSD) は、デフォルトで /etc/passwd ファイルおよび /etc/groups ファイルから、ユーザーとグループにサービスを提供します。sss の nsswitch モジュールは、/etc/nsswitch.conf のファイルに先行します。

SSSD を通して、ローカルユーザーにサービスを提供する利点は、nss_sss モジュールに memory-mapped cache があるため、NSS (Name Service Switch) への各要求でディスクにアクセスしてファイルを開くのと比較して、Name Service Switch (NSS) ルックアップが高速になることでした。これまで、ディスクへのアクセスの高速化は、Name サービスキャッシュデーモン (nscd) により行われていました。ただし、SSSD と nscd の両方が独自の独立したキャッシュを使用するため、nscd と SSSD を並行して使用するのは容易ではありません。そのため、SSSD が、リモートドメイン (LDAP、Active Directory など) のユーザーにもサービスを提供している環境で nscd を使用すると、予期しない動作が発生する可能性があります。

今回の更新で、RHEL 8 でローカルユーザーおよびグループの解決が速くなりました。root ユーザーは、SSSD に処理されることがないため、SSSD の潜在的なバグが root の解決に影響を及ぼすことはありません。また、SSSD が実行していない場合は、問題を回避するために、nss_sss モジュールが nss_files にフォールバックすることでこの状況が適切に処理されます。SSSD を設定する必要はありません。files ドメインは自動的に追加されます。

デフォルトでは、SSSD (System Security Services Daemon) が、スマートカード認証用デバイスを自動的に検出しようとします。複数のデバイスを接続している場合は、最初に見つかったデバイスを SSSD が選択します。したがって、特定のデバイスを選択することはできません。失敗する可能性もあります。

この更新では、sssd.conf 設定ファイルの [pam] セクションに、新しい p11_uri オプションを設定できるようになりました。このオプションを使用すると、スマートカード認証に使用するデバイスを定義できます。

たとえば、OpenSC PKCS#11 モジュールにより検出されたスロット ID 2 のリーダーを選択するには、以下を追加します。

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

sssd.conf の [pam] セクションに追加します。

詳細は、man sssd.conf ページを参照してください。

System Security Services Daemon (SSSD) の sssd-secrets コンポーネントは、Red Hat Enterprise Linux 8 から削除されました。Custodia シークレットサービスプロバイダーが、以前よりも活発に開発されなくなったためです。その他の Identity Management ツールを使用して Identity Management Vault などのシークレットを保存します。