8.10. Identity Management
SSSD が GPO ベースのアクセス制御を評価するときに sAMAccountName を使用するようになる
以前は、AD クライアントで ldap_user_name が sAMAccountName 以外の値に設定されている場合、GPO ベースのアクセス制御が失敗しました。今回の更新により、SSSD が GPO ベースのアクセス制御を評価するときに常に sAMAccountName を使用するようになりました。ldap_user_name が AD クライアントの sAMAccountName とは異なる値に設定されている場合でも、GPO ベースのアクセス制御が正しく機能するようになりました。
SSSD は、ユーザーを取得するときに user_attributes オプションで重複した属性を処理するようになる
以前は、sssd.conf が user_attributes オプションに重複した属性を含んでいた場合、SSSD はこれらの重複を正しく処理しませんでした。その結果、それらの属性を持つユーザーを取得できませんでした。この更新により、SSSD は重複を正しく処理できるようになりました。その結果、重複した属性を持つユーザーを取得できるようになりました。
セキュリティーパラメーターの変更が正しく機能するようになる
以前は、dsconf instance_name security set コマンドを使用してセキュリティーパラメーターを変更すると、次のエラーが発生して操作が失敗していました。
Name 'log' is not defined
この更新により、セキュリティーパラメーターの変更が期待どおりに機能するようになりました。
Directory Server が、開いている記述子の最大数に基づいて dtablesize を計算するようになりました。
以前は、管理者は nsslapd-conntablesize 設定パラメーターを使用して、接続テーブルのサイズを手動で設定できました。そのため、接続テーブルのサイズ設定が小さすぎると、サーバーがサポートできる接続数に影響が及んでいました。今回の更新により、Directory Server が接続テーブルのサイズを動的に計算するようになり、接続テーブルのサイズが小さすぎる問題を効果的に解決できるようになりました。さらに、接続テーブルのサイズを手動で変更する必要がなくなりました。
dsctl healthcheck コマンドがデフォルトでパスワード保存スキーム PBKDF2-SHA512 を使用するようになりました。
以前は、dsctl healthcheck コマンドはデフォルトで SSHA512 パスワード保存スキームを使用していました。その結果、新しいパスワード保存スキーム PBKDF2-SHA512 が検出されなかったため、このコマンドは警告を報告していました。今回の更新により、dsctl healthcheck コマンドがデフォルトで PBKDF2-SHA512 パスワード保存スキームを使用するようになり、警告が発生しなくなりました。
通常のユーザーによるページ検索はパフォーマンスに影響を与えなくなる
以前は、Directory Server に検索負荷がかかっている場合、ロックがネットワークイベントをポーリングするスレッドと競合するため、通常のユーザーからのページ検索がサーバーのパフォーマンスに影響を与える可能性がありました。さらに、ページ検索の送信中にネットワークの問題が発生した場合、nsslapd-iotimeout パラメーターの期限が切れるまでサーバー全体が応答しなくなっていました。今回の更新では、ネットワークイベントとの競合を避けるために、ロックがいくつかの部分に分割されました。その結果、一般ユーザーからのページ検索中のパフォーマンスへの影響はありません。
Directory Server で暗号を期待どおりに有効または無効にできるようになりました。
以前は、Web コンソールを使用してデフォルトの暗号に加えて特定の暗号を有効または無効にしようとすると、サーバーが特定の暗号のみを有効または無効にし、次のようなエラーをログに記録していました。
Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+cipher_name>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)
現在、ネットワークセキュリティーサービス (NSS) は、デフォルトの暗号と特定の暗号を同時に処理することをサポートしていません。そのため、Directory Server は特定の暗号またはデフォルトの暗号を有効または無効にすることができます。今回の更新により、デフォルトの暗号を設定すると、Web コンソールで Allow Specific Ciphers フィールドと Deny Specific Ciphers フィールドがクリアされることを示すメッセージが表示されるようになりました。
IdM admin ユーザーの削除が許可されなくなる
以前は、admin グループのメンバーであれば、Identity Management (IdM) の admin ユーザーを削除できました。admin ユーザーが存在しないと、IdM と Active Directory (AD) の間の信頼が正しく機能しません。この更新により、admin ユーザーを削除できなくなりました。結果として、IdM-AD 信頼は正しく機能します。
IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する
以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。
RHBA-2023:4525 のリリースにより、大文字と小文字を区別する比較は、大文字と小文字を区別しない比較に置き換えられました。その結果、IdM クライアントは、ユーザー名に大文字と小文字が混在しており、IdM でオーバーライドが設定されている場合でも、AD の信頼済みドメインのユーザーを検索できるようになりました。
Jira:SSSD-6096
