8.11. Identity Management

クライアントシークレットを必要とする外部 IdP への認証が可能になりました。

以前は、SSSD はクライアントシークレットを外部 ID プロバイダー (IdP) に適切に渡しませんでした。その結果、クライアントシークレットを要求するように ipa idp-add --secret コマンドで以前に設定した外部 IdP に対する認証が失敗しました。この更新により、SSSD はクライアントシークレットを IdP に渡し、ユーザーは認証できるようになります。

IdM は、Ansible を使用した sudo ルールのホストマスクの設定をサポートするようになりました。

以前は、ipa sudorule-add-host コマンドでは、sudo ルールで使用されるホストマスクを設定できましたが、このオプションは ansible-freeipa パッケージには存在していませんでした。この更新により、ansible-freeipa hostmask 変数を使用して、Identity Management (IdM) で定義された特定の sudo ルールが適用されるホストマスクのリストを定義できるようになりました。

変更ログの圧縮をスケジュールした時間が正しく機能するようになりました。

以前は、変更ログの圧縮にカスタムのスケジュール時間を設定すると、サーバーは新しい設定を適用せず、変更ログの圧縮がピーク時に開始される可能性がありました。このリリースでは、サーバーは変更ログ圧縮のカスタム時間を正しく適用するようになりました。

IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する

以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。

mod_auth_gssapi がユーザーマッピングの GssapiLocalName 設定を反映するようになる

mod_auth_gssapi-1.6.1-9.el8 による更新の前は、リグレッションにより、mod_auth_gssapi が krb5 設定の auth_to_local_names 設定を使用してプリンシパルをローカルユーザー名に変換することが許されていました。これは、この動作は明示的に有効化していなくても可能でした。その結果、GssapiLocalName オプションが On に設定されていない場合でも、mod_auth_gssapi を使用する httpd セットアップで、auth_to_local_names 設定に基づいてクライアントアイデンティティーが意図せずマッピングされる可能性がありました。この更新により、当初の動作が復元されます。auth_to_local_names によってユーザーマッピングを有効にするには、httpd 設定で GssapiLocalName を明示的に On に設定する必要があります。