4.15. Identity Management
Directory Server はグローバル changelog を使用しなくなりました
この機能強化により、Directory Server changelog がメインのデータベースに統合されました。以前は、Directory Server はグローバル changelog を使用していました。ただし、ディレクトリーが複数のデータベースを使用した場合は、問題が発生する可能性がありました。その結果、各接尾辞には、通常のデータベースファイルと同じディレクトリーに独自の changelog が含まれるようになりました。
(BZ#1805717)
すべての依存関係を持つ AppStream リポジトリーで ansible-freeipa が利用できるようになりました。
以前の RHEL 8 では、ansible-freeipa パッケージをインストールする前に、まず Ansible リポジトリーを有効にして ansible パッケージをインストールする必要がありました。RHEL 8.6 および RHEL 9 では、準備手順なしで ansible-freeipa をインストールできます。ansible-freeipa をインストールすると、依存関係として、ansible のより基本的なバージョンである ansible-core パッケージが自動的にインストールされます。ansible-freeipa と ansible-core の両方が、rhel-9-for-x86_64-appstream-rpms リポジトリーで利用できます。
RHEL 8.6 および RHEL 9 の ansible-freeipa には、RHEL 8 で含まれていたモジュールがすべて含まれています。
(JIRA:RHELPLAN-100359)
IdM は、automountlocation、automountmap、および automountkeyAnsible モジュールをサポートするようになりました。
この更新では、ansible-freeipa パッケージに、ipaautomountlocation、ipaautomountmap、および ipaautomountkey モジュールが含まれています。これらのモジュールを使用して、IdM の場所にある IdM クライアントにログインした IdM ユーザーが自動的にマウントされるようにディレクトリーを設定できます。現在サポートされているのはダイレクトマップのみであることに注意してください。
(JIRA:RHELPLAN-79161)
サブ ID 範囲の管理は、shadow-utils で可能です。
以前では、shadow-utils が設定したサブ ID は、/etc/subuid ファイルおよび /etc/subgid ファイルから自動的に範囲を設定していました。今回の更新で、subid フィールドに値を設定することで、/etc/nsswitch.conf ファイルで subID 範囲の設定を利用できるようになりました。詳細は man subuid および man subgid を参照してください。また、今回の更新で、IPA サーバーからのサブ ID 範囲を提供する、shadow-utils プラグインの SSSD 実装が利用可能になりました。この機能を使用するには、subid: sss を /etc/nsswitch.conf に追加します。このソリューションは、コンテナー化した環境でルートレスコンテナーを容易にするために役立ちます。
/etc/nsswitch.conf ファイルが authselect ツールで設定されている場合は、authselect のドキュメントに記載されている手順に従う必要があります。そうでない場合は、/etc/nsswitch.conf を手動で修正できます。
subID 範囲の管理は、IdM でサポートされています。
この更新により、Identity Management でユーザーの ID サブ範囲を管理できるようになりました。ipaCLI ツールまたは IdM Web UI インターフェイスを使用して、自動的に設定されたサブ ID 範囲をユーザーに割り当てることができますが、これはコンテナー化された環境では便利かもしれません。
Identity Management インストールパッケージがモジュール解除されました
RHEL 8 以前では、IdM パッケージはモジュールとして配布されていたため、ストリームを有効にして、目的のインストールに対応するプロファイルをインストールする必要がありました。IdM インストールパッケージは、RHEL 9 でモジュール解除されているため、次の dnf コマンドを使用して IdM サーバーをインストールできます。
統合 DNS サービスがないサーバーの場合は、次のコマンドを実行します。
# dnf install ipa-server
統合 DNS サービスがあるサーバーの場合は、次のコマンドを実行します。
# dnf install ipa-server ipa-server-dns
従来の RHEL ansible-freeipa リポジトリーの代替Ansible Automation Hub
この更新では、標準の RHEL リポジトリーからダウンロードする代わりに、Ansible Automation Hub (AAH) から ansible-freeipa モジュールをダウンロードできます。AAH を使用することで、このリポジトリーで利用可能な ansible-freeipa モジュールのより高速な更新の恩恵を受けることができます。
AAH では、ansible-freeipa のロールとモジュールがコレクション形式で配布されます。AAH ポータルのコンテンツにアクセスするには、Ansible Automation Platform (AAP) サブスクリプションが必要であることに注意してください。また、ansible バージョン 2.9 以降も必要です。
redhat.rhel_idm コレクションには、従来の ansible-freeipa パッケージと同じコンテンツが含まれています。ただし、コレクション形式では、名前空間とコレクション名で設定される完全修飾コレクション名 (FQCN) が使用されます。たとえば、redhat.rhel_idm.ipadnsconfig モジュールは、RHEL リポジトリーによって提供される ansible-freeipa の ipadnsconfig モジュールに対応します。名前空間とコレクション名の組み合わせにより、オブジェクトが一意になり、競合することなく共有できるようになります。
(JIRA:RHELPLAN-103147)
ansible-freeipa モジュールを IdM クライアントでリモートで実行できるようになりました
以前は、ansible-freeipa モジュールは IdM サーバーでのみ実行できました。これには、Ansible 管理者が IdM サーバーへの SSH アクセスを持っている必要があり、潜在的なセキュリティーの脅威を引き起こしていました。この更新により、IdM クライアントであるシステム上で ansible-freeipa モジュールをリモートで実行できるようになります。その結果、IdM の設定とエンティティーをより安全な方法で管理できます。
IdM クライアントで ansible-freeipa モジュールを実行するには、次のいずれかのオプションを選択します。
-
Playbook の
hosts変数を IdM クライアントホストに設定します。 -
ansible-freeipaモジュールを使用する Playbook タスクにipa_context: client行を追加します。
ipa_context 変数を IdM サーバー上の client に設定することもできます。ただし、通常、サーバーコンテキストの方がパフォーマンスが向上します。ipa_context が設定されていない場合、ansible-freeipa はサーバーまたはクライアントで実行されているかどうかを確認し、それに応じてコンテキストを設定します。IdM クライアントホスト上の server に context が設定された ansible-freeipa モジュールを実行すると、missing libraries エラーが発生することに注意してください。
(JIRA:RHELPLAN-103146)
ipadnsconfig モジュールには、グローバルフォワーダーを除外するための action: member が必要になりました。
今回の更新で、ansible-freeipa ipadnsconfig モジュールを使用して Identity Management (IdM) のグローバルフォワーダーを除外するには、state: absent オプションの他に action: member オプションを使用する必要があります。Playbook で action: member を使用せずに state: absent だけを使用すると、その Playbook は失敗します。そのため、すべてのグローバルフォワーダーを削除するには、Playbook でこれらをすべて個別に指定する必要があります。一方、state: present オプションに action: member は必要ありません。
AD ユーザー向けの自動プライベートグループが、一元管理された設定をサポート
IdM クライアントの SSSD の互換バージョンで、信頼された Active Directory ドメインのユーザーのプライベートグループを管理する方法を一元的に定義できるようになりました。この改善により、AD ユーザーを処理する ID 範囲に対して、SSSD の auto_private_groups オプションの値を明示的に設定できるようになりました。
auto_private_groups オプションが明示的に設定されていない場合は、デフォルト値が使用されます。
-
ipa-ad-trust-posixID の範囲では、デフォルト値はfalseです。SSSD は、AD エントリーのuidNumberとgidNumberを常に使用します。gidNumberを持つグループが AD に存在している必要があります。 -
ipa-ad-trustID の範囲では、デフォルト値は真です。SSSD は、エントリー SID からのuidNumberをマッピングします。gidNumberは常に同じ値に設定され、プライベートグループは常にマッピングされます。
auto_private_groups を 3 番目の設定 (ハイブリッド) に設定することもできます。この設定では、ユーザーエントリーの GID が UID と同じであるにもかかわらず、この GID を持つグループがない場合に、SSSD がプライベートグループをマッピングします。UID と GID が異なる場合は、この GID 番号のグループが存在する必要があります。
この機能は、ユーザープライベートグループ用に別のグループオブジェクトの保持を停止しながら、既存のユーザープライベートグループを保持する管理者に役立ちます。
(BZ#1957736)
BIND のカスタマイズ可能なロギング設定
この改善により、/etc/named/ipa-logging-ext.conf 設定ファイルで、Identity Management サーバーの BIND DNS サーバーコンポーネントのロギング設定を設定できるようになりました。
IdM キータブの取得時の IdM サーバーの自動検出
この改善により、ipa-getkeytab コマンドで Kerberos キータブを取得する際に、IdM サーバーのホスト名を指定する必要がなくなりました。サーバーのホスト名を指定しない場合は、DNS 検出が使用されて IdM サーバーが検出されます。サーバーが見つからない場合は、/etc/ipa/default.conf 設定ファイルで指定された host に戻ります。
RHEL 9 が Samba 4.15.5 を提供する
RHEL 9 には Samba 4.15.5 が使用されており、バージョン 4.14 に対するバグ修正および機能拡張が提供されます。
- 一貫したユーザーエクスペリエンスのために、Samba ユーティリティーのオプションの名前が変更され、削除されました。
- サーバーのマルチチャンネルサポートがデフォルトで有効になりました。
-
SMB2_22、SMB2_24、およびSMB3_10のダイアレクトは、Windows のテクニカルプレビューでのみ使用されていましたが、削除されました。
Samba を起動する前にデータベースファイルがバックアップされます。smbd、nmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。
Samba を更新したら、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
重要な変更点の詳細については、更新する前に、アップストリームリリースノート をお読みください。
ログアナライザーツールを使用したクライアント要求の追跡
SSSD(System Security Services Daemon) には、複数の SSSD コンポーネントからのログファイル全体で開始からの要求を追跡するログ解析ツールが追加されました。
ログアナライザーツールを使用すると、SSSD のデバッグログをより簡単に確認でき、SSSD の問題のトラブルシューティングに役立ちます。たとえば、SSSD プロセス全体で特定のクライアント要求のみに関連する SSSD ログを抽出および出力できます。アナライザーツールを実行するには、sssctl analyze コマンドを使用します。
(JIRA:RHELPLAN-97899)
SSSD がデフォルトでバックトレースをログするようになりました。
この改善により、SSSD は詳細なデバッグログをメモリー内のバッファーに保存し、障害発生時にログファイルに追加できるようになりました。デフォルトでは、以下のエラーレベルが原因でバックトレースが発生します。
- レベル 0: 致命的な障害
- レベル 1: 重大な障害
- レベル 2: 重大な障害
この動作は、sssd.conf 設定ファイルの対応するセクションにある debug_level オプションを設定することで、SSSD プロセスごとに変更できます。
- デバッグレベルを 0 に設定すると、レベル 0 のイベントのみがバックトレースをトリガーします。
- デバッグレベルを 1 に設定すると、レベル 0 と 1 でバックトレースが発生します。
- デバッグレベルを 2 以上に設定すると、レベル 0 から 2 のイベントでバックトレースが発生します。
sssd.conf の対応するセクションで debug_backtrace_enabled オプションを false に設定することで、SSSD プロセスごとにこの機能を無効にできます。
[sssd] debug_backtrace_enabled = true debug_level=0 ... [nss] debug_backtrace_enabled = false ... [domain/idm.example.com] debug_backtrace_enabled = true debug_level=2 ... ...
SSSD のデフォルトの SSH ハッシュ値が OpenSSH 設定と一致するようになりました
ssh_hash_known_hosts のデフォルト値が false に変更になりました。これは、デフォルトでホスト名をハッシュしない OpenSSH 設定と一致するようになりました。
ただし、引き続きホスト名をハッシュする必要がある場合は、/etc/sssd/sssd.conf 設定ファイルの [ssh] セクションに ssh_hash_known_hosts = True を追加します。
Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとする
Directory Server 12.0 は、アップストリームバージョン 2.0.14 をベースとしており、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-14.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-13.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-12.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-11.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-10.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-9.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-8.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-7.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-6.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-5.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-4.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-3.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-2.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-1.html
Directory Server が、tmpfs ファイルシステムのデータベースのメモリーマッピングされたファイルを保存するようになりました。
Directory Server の nsslapd-db-home-directory パラメーターは、データベースのメモリーマッピングファイルの場所を定義します。この改善により、パラメーターのデフォルト値が /var/lib/dirsrv/slapd-instance_name/db/ から /dev/shm/ に変更になりました。その結果、tmpfs ファイルシステムに保存されている内部データベースがあると、Directory Server のパフォーマンスが向上します。
FreeRADIUS サポートが再設計されました。
RHEL 9 では、既存の FreeRADIUS オファリングが合理化され、Identity Management (IdM)の戦略的な方向に密接に連携するようになりました。Red Hat は、IdM のお客様に最高のサポートを提供するために、FreeRADIUS を使用してこれらの外部認証モジュールのサポートを強化しています。
-
krb5および LDAP に基づく認証 -
Python 3認証
次のモジュールはサポート対象外になりました。
- MySQL、PostgreSQL、SQlite、および unixODBC データベースコネクター
-
Perl言語モジュール - REST API モジュール
ベースパッケージの一部として提供される PAM 認証モジュールおよびその他の認証モジュールは影響を受けません。
削除されたモジュールの代替は、Fedora プロジェクトなどのコミュニティーでサポートされているパッケージで見つけることができます。
さらに、freeradius パッケージのサポート範囲は、次のユースケースに限定されています。
-
FreeRADIUS をワイヤレス認証プロバイダーとして使用し、IdM を認証のバックエンドソースとして使用します。認証は、
krb5および LDAP 認証パッケージを使用して、またはメインの FreeRADIUS パッケージの PAM 認証として行われます。 -
FreeRADIUS を使用して、
Python 3認証パッケージで IdM の認証用に信頼できる情報源を提供します。
(JIRA:RHELDOCS-17553)
