7.10. Identity Management

ブートストラップスクリプトの実行時に、FreeRADIUS がデフォルトの証明書を誤って生成しなくなりました。

FreeRADIUS が起動するたびに、ブートストラップスクリプトが実行されます。以前のバージョンでは、このスクリプトは /etc/raddb/certs ディレクトリーに新しいテスト証明書を生成し、その結果、これらのテスト証明書は無効なので、FreeRADIUS サーバーが起動できないことがありました。たとえば、証明書の有効期限が切れている場合があります。今回の更新により、ブートストラップスクリプトは /etc/raddb/certs ディレクトリーをチェックし、テストまたはカスタマー証明書が含まれている場合は、スクリプトが実行されず、FreeRADIUS サーバーが正しく起動するはずです。

FreeRADIUS がコアダンプファイルの作成に失敗しなくなる

以前では、allow_core_dumps を yes に設定した場合に、FreeRADIUS がコアダンプファイルを作成していませんでした。そのため、いずれかのプロセスに失敗した場合は、コアダンプファイルが作成されませんでした。今回の更新で、allow_core_dumps を yes に設定すると、いずれかのプロセスが失敗した場合に、FreeRADIUS がコアダンプファイルを作成するようになりました。

SSSD が、/etc/krb5.conf の Kerberos キータブ名のデフォルト設定を正しく評価

以前は、krb5.keytab ファイルの標準以外の場所を定義した場合は、SSSD はこの場所を使用せず、代わりにデフォルトの /etc/krb5.keytab の場所を使用していました。したがって、システムへのログイン試行時に、/etc/krb5.keytab にエントリーが含まれていないため、ログインに失敗していました。

sudo コマンドを実行しても、KRB5CCNAME 環境変数をエクスポートしなくなりました。

以前のバージョンでは、sudo コマンドの実行後に、環境変数 KRB5CCNAME は、元のユーザーの Kerberos 認証情報キャッシュを参照していましたが、ターゲットユーザーがアクセスできない場合がありました。そのため、このキャッシュにアクセスできないため、Kerberos 関連の操作が失敗する可能性がありました。今回の更新で、sudo コマンドを実行しても KRB5CCNAME 環境変数が設定されなくなり、ターゲットユーザーがデフォルトの Kerberos 認証情報キャッシュを使用できるようになりました。

Kerberos が許可された暗号化タイプのみを要求

以前では、default_tgs_enctypes または default_tkt_enctypes パラメーターが設定されていないと、RHEL は /etc/krb5.conf ファイルの permitted_enctypes パラメーターで指定された許可された暗号化タイプを適用しませんでした。そのため、Kerberos クライアントは RC4 などの非推奨の暗号スイートをリクエストでき、他のプロセスが失敗する可能性がありました。今回の更新で、RHEL は permitted_enctypes に設定した暗号化タイプをデフォルトの暗号化タイプにも適用し、プロセスは許可された暗号化タイプのみを要求できるようになりました。

レプリケーションセッションの更新速度が向上しました。

これまでは、チェンジログに大きな更新が含まれている場合、レプリケーションセッションはチェンジログの先頭から開始されていました。これでセッションが遅くなってしまいました。これは、レプリケーションセッション中に、チェンジログからの更新情報を格納するために小さなバッファーを使用したことが原因です。この更新で、レプリケーションセッションは、開始の時点でバッファーが更新を保存するのに十分な大きさであることをチェックします。レプリケーションセッションは、すぐに更新の送信を開始します。

プラグインで作成したデータベースのインデックスが有効になる

これまでは、サーバープラグインが独自のデータベースインデックスを作成した場合、それらのインデックスを手動で有効にする必要がありました。今回の更新では、デフォルトでインデックスの作成直後から有効になります。