Red Hat Training

A Red Hat training course is available for RHEL 8

17.8. SSSD

17.8.1. AD GPO がデフォルトで有効に

RHEL 8 では、ad_gpo_access_control オプションのデフォルト設定は enforcing となり、Active Directory Group Policy Objects (GPO) に基づいてアクセス制御ルールが評価され、適用されます。

一方、RHEL 7 のこのオプションのデフォルトは Permissive で、GPO ベースのアクセス制御ルールは強制的に実行されません。Permissive モードでは、GPO によるアクセスが拒否されるたびに syslog メッセージは記録されますが、ユーザーはアクセスが拒否されてもそのままログインできます。

注記

Red Hat は、RHEL 7 から RHEL 8 にアップグレードする前に、Active Directory で GPO が正しく設定されていることを確認することを推奨します。

デフォルトの RHEL 7 ホストで認可に影響のない GPO の設定が間違っていると、デフォルトの RHEL 8 ホストに影響を及ぼす可能性があります。

GPO の詳細は、RHEL でのグループポリシーオブジェクトアクセス制御の適用 および sssd-ad の man ページの ad_gpo_access_control のエントリーを参照してください。

17.8.2. authselectauthconfig に置き換え

RHEL 8 では、authselect ユーティリティーが authconfig ユーティリティーに代わります。authselect には、システム管理者が PAM 設定変更を簡単に行える、PAM スタック管理のより安全なアプローチがあります。authselect を使用して、パスワード、証明書、スマートカード、フィンガープリントなどの認証方法を設定できます。authselect では、リモートドメインに参加するのに必要なサービスを設定しないことに注意してください。このタスクは、realmdipa-client-install のような専門のツールにより実行されます。

17.8.3. KCM が、KEYRING をデフォルトの認証情報キャッシュストレージとして置き換え

RHEL 8 でデフォルトの認証情報キャッシュストレージは、sssd-kcm デーモンにより強化されている Kerberos Credential Manager (KCM) です。KCM では、以前使用されていた KEYRING の制限 (名前空間がないためにコンテナー化された環境での使用や、クォータの表示および管理が困難など) が解消されています。

今回の更新で、RHEL 8 には、コンテナー環境により適した認証情報キャッシュが含まれ、将来のリリースでより多くの機能を構築するための基盤が提供されます。

17.8.4. sssctl が、IdM ドメインの HBAC ルールレポートを出力

今回の更新で、System Security Services Daemon (SSSD) の sssctl ユーティリティーは、Identity Management (IdM) ドメインのアクセス制御レポートを出力できるようになりました。この機能は、規制上の理由から、特定のクライアントマシンにアクセスできるユーザーとグループのリストを表示するニーズを満たします。IdM クライアントで sssctl access-report domain_name を実行すると、クライアントマシンに適用する IdM ドメインで解析されたホストベースのアクセス制御 (HBAC) ルールのサブセットを表示します。

IdM 以外のプロバイダーは、この機能に対応していません。

17.8.5. RHEL 8.8 以降、SSSD がデフォルトでローカルユーザーをキャッシュせず、nss_sss モジュールを通じてローカルユーザーにサービスを提供しなくなる

RHEL 8.8 以降では、/etc/passwd ファイルおよび /etc/group ファイルからユーザーおよびグループを提供する System Security Services Daemon (SSSD) files プロバイダーはデフォルトで無効になっています。/etc/sssd/sssd.conf 設定ファイルの enable_files_domain 設定のデフォルト値は false です。

RHEL 8.7 以前のバージョンでは、SSSD ファイル プロバイダーはデフォルトで有効になっています。sssd.conf 設定ファイルの enable_files_domain 設定のデフォルト値は true であり、sss nsswitch モジュールは /etc/nsswitch.conf ファイル内の ファイル より優先されます。

17.8.6. SSSD で、複数のスマートカード認証デバイスの中から 1 つを選択可能

デフォルトでは、SSSD (System Security Services Daemon) が、スマートカード認証用デバイスを自動的に検出しようとします。複数のデバイスを接続している場合は、最初に見つかったデバイスを SSSD が選択します。したがって、特定のデバイスを選択することはできません。失敗する可能性もあります。

この更新では、sssd.conf 設定ファイルの [pam] セクションに、新しい p11_uri オプションを設定できるようになりました。このオプションを使用すると、スマートカード認証に使用するデバイスを定義できます。

たとえば、OpenSC PKCS#11 モジュールにより検出されたスロット ID 2 のリーダーを選択するには、以下を追加します。 

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

sssd.conf[pam] セクションに追加します。

詳細は、man sssd.conf ページを参照してください。