Red Hat Training

A Red Hat training course is available for RHEL 8

第32章 RHEL 7 から RHEL 8 への IdM クライアントのアップグレード

IdM サーバーとは異なり、IdM クライアントの RHEL 7 から RHEL 8 へのインプレースアップグレードはサポート対象です。

RHEL 8 では、IdM 環境の認証を担当するサービスである System Security Services Daemon (SSSD) から一般的でないオプションおよび未使用の機能が削除されました。これらのオプションを削除する手順については、以下のセクションを参照してください。

32.1. RHEL 8 へのアップグレード後の SSSD 設定の更新

Red Hat Enterprise Linux (RHEL) 7 から RHEL 8 に Identity Management (IdM) クライアントをアップグレードすると、アップグレードアプリケーション (leapp) が SSSD 設定オプションがサポート対象外になったことをを示す警告が表示されることがあります。

以下の手順では、これらの問題に対処するために SSSD 設定を更新する方法を説明します。

前提条件

  • IdM クライアントが RHEL 7 から RHEL 8 にアップグレードしている。
  • /etc/sssd/sssd.conf を編集する root 権限がある。

32.1.1. ローカル ID プロバイダーから ファイル ID プロバイダーへの切り替え

以下のエラーが表示される場合は、ローカル ID プロバイダーは ファイル ID プロバイダーに置き換えます。

SSSD Domain "example.com": local provider is no longer supported and the domain will be ignored.
Local provider is no longer supported.

手順

  1. ローカル ID プロバイダーで取得したユーザーおよびグループは、/etc/passwd/etc/group ファイルにも含まれていることを確認します。このファイルに存在していると、ファイル プロバイダーがユーザーおよびグループにアクセスできるようになります。

    1. ユーザーを作成する必要がある場合は、useradd コマンドを使用します。UID を指定する必要がある場合は、-u オプションを追加します。

      [root@client ~]# useradd -u 3001 username
    2. グループを作成する必要がある場合は、groupadd コマンドを使用します。GID を指定する必要がある場合は、-g オプションを追加します。

      [root@client ~]# groupadd -g 5001 groupname
  2. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。
  3. id_provider=localid_provider=files に置き換えます。

    [domain/example.com]
    id_provider = files
    ...
  4. /etc/sssd/sssd.conf 設定ファイルを保存します。
  5. SSSD を再起動して、設定の変更を読み込みます。

    [root@client ~]# systemctl restart sssd

32.1.2. 非推奨のオプションの削除

非推奨のオプションに関する以下のエラーのいずれかが表示される場合は、このようなオプションを /etc/sssd/sssd.conf 設定ファイルからを削除することを推奨します。

SSSD Domain "example.com": option ldap_groups_use_matching_rule_in_chain has no longer any effect
Option ldap_groups_use_matching_rule_in_chain was removed and it will be ignored.
SSSD Domain "example.com": option ldap_initgroups_use_matching_rule_in_chain has no longer any effect
Option ldap_initgroups_use_matching_rule_in_chain was removed and it will be ignored.

手順

  1. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。
  2. ldap_groups_use_matching_rule_in_chain または ldap_initgroups_use_matching_rule_in_chain オプションが存在する場合は削除します。
  3. /etc/sssd/sssd.conf 設定ファイルを保存します。
  4. SSSD を再起動して、設定の変更を読み込みます。

    [root@client ~]# systemctl restart sssd

32.1.3. sudo ルールでのワイルドカードの使用の有効化

以下の警告は、RHEL 8 のデフォルトでワイルドカードが含まれる sudo ルールは機能しないことを示します。これは、ldap_sudo_include_regexp オプションがデフォルトで false に設定されるようになったためです。

SSSD Domain "example.com": sudo rules containing wildcards will stop working.
Default value of ldap_sudo_include_regexp changed from true to false for performance reason.

sudo ルールでワイルドカードを使用して、ワイルドカードの検索を有効化する場合は、ldap_sudo_include_regexp オプションを true に設定してください。

注記

Red Hat では sudo ルールでワイルドカードを使用した検索の利用は推奨していません。

ldap_sudo_include_regexp オプションが true に設定されている場合には、SSSD は sudoHost 属性にワイルドカードが含まれるすべての sudo ルールをダウンロードするため、LDAP 検索パフォーマンスに悪影響があります。

手順

  1. テキストエディターで /etc/sssd/sssd.conf 設定ファイルを開きます。
  2. example.com ドメインで ldap_sudo_include_regexp=true と設定します。

    [domain/example.com]
    ...
    ldap_sudo_include_regexp = true
    ...
  3. /etc/sssd/sssd.conf 設定ファイルを保存します。
  4. SSSD を再起動して、設定の変更を読み込みます。

    [root@client ~]# systemctl restart sssd