11.10. Identity Management
ipa idrange-add
コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる
以前は、ipa idrange-add
コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。
Jira:RHELDOCS-18201[1]
ipa-replica-manage
コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew
設定をリセットしなくなる
以前は、設定された値に関係なく、ipa-replica-manage
force-sync
コマンドは、nsslapd-ignore-time-skew
設定を off
にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew
設定が上書きされなくなりました。
certmonger
が、非表示のレプリカ上の KDC 証明書を正しく更新するようになる
以前は、証明書の有効期限が近づいたときに、certmonger
が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger
がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。
Jira:RHEL-46607[1]
期限切れのトークンを使用した 2 要素認証の回避ができなくなる
以前は、特定の有効期限を持つ OTP トークンを作成することで、2 要素認証を回避できました。
2 要素認証が強制されている場合、OTP トークンを持たないユーザーは、パスワードを使用して 1 回 ログインし、OTP トークンを設定できます。その後、認証にはパスワードと OTP トークンの両方を使用する必要があります。ただし、ユーザーが有効期限の終了日が過ぎた OTP トークンを作成した場合、IdM は誤ってパスワードのみの認証にフォールバックし、事実上 2 要素認証を回避します。これは、IdM が、存在しない OTP トークンと期限切れの OTP トークンを区別しなかったために発生しました。
この更新により、IdM はこれらのシナリオを正しく区別できるようになりました。その結果、2 要素認証が正しく実施され、この回避が阻止されるようになりました。
Jira:RHEL-63325[1]
Account Policy プラグインが、レプリケーショントポロジーの更新に適切なフラグを使用するようになる
この更新前は、Account Policy プラグインは更新に適切なフラグを使用していませんでした。その結果、レプリケーショントポロジーでは、Account Policy プラグインがログイン履歴を更新しましたが、この更新はコンシューマーサーバー上で失敗し、次のエラーメッセージが記録されました。
{{ERR - acct_update_login_history - Modify error 10 on entry }}
{{ERR - acct_update_login_history - Modify error 10 on entry
}}
この更新により、内部更新は成功し、エラーは記録されません。
TLS 1.3 を使用して、FIPS モードで実行されている LDAP サーバーに接続できるようになる
この更新前は、FIPS モードで LDAP サーバーに接続するときに TLS 1.3 を明示的に設定しようとすると、使用される TLS バージョンは 1.2 のままでした。その結果、TLS 1.3 を使用して LDAP サーバーに接続しようとしても失敗しました。この更新により、FIPS モードにおける TLS バージョンの上限が 1.3 に変更され、TLS 1.3 を使用した LDAP サーバーへの接続試行が失敗しなくなりました。
Jira:RHEL-79498[1]
ページ結果検索における競合状態が解消され、T3
エラーコードによって接続が切断されなくなる
この更新前は、Directory Server は、タイムアウトイベントの接続のページ結果データをチェックするときに適切なスレッド保護を使用していませんでした。その結果、新たな操作が到着した際に、ページ結果のタイムアウト値が予期せず変更され、誤ったタイムアウトが発生してしまいました。これによりタイムアウトエラーが発生し、次の T3
エラーコードで接続が閉じられました。
ページ結果検索の指定された時間制限を超えたため、サーバーが接続を閉じました。
この更新により、適切なスレッド保護が使用されるようになり、ページ結果検索で接続が T3
エラーコードによって切断されることはなくなりました。
Jira:RHEL-76020[1]
ldapsearch
が NETWORK_TIMEOUT
設定を期待通りに考慮するようになる
この更新前は、サーバーに到達できない場合、ldapsearch
コマンドはタイムアウトを無視し、その結果、検索はタイムアウトになる代わりに無期限にハングしていました。この更新では、接続再試行とソケットオプションを調整することで、TLS 処理のロジックエラーが修正されました。
その結果、ldapsearch
コマンドは NETWORK_TIMEOUT 設定を無視しなくなり、タイムアウトに達すると次のエラーを返すようになりました。
`ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.
`ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.
OpenLDAP ライブラリーは、リソースを解放しようとしても失敗しなくなる
この更新前は、OpenLDAP ライブラリーは、アプリケーションが直接または atexit()
関数経由で OPENSSL_cleanup()
関数を呼び出してこれらのリソースをすでにクリーンアップしているときに、デストラクターで SSL_CTX_free()
関数を使用してメモリーを解放しようとしていました。その結果、無効な SSL_CTX_free()
呼び出しによって、すでにクリーンアップされた SSL コンテキストリソースが解放されようとしたときに、ユーザーは障害や未定義の動作を経験しました。
この更新により、OpenLDAP のデストラクターで SSL コンテキストのクリーンアップをスキップするための安全なクリーンアップ関数が追加されました。その結果、SSL コンテキストは明示的に解放されない場合にリークされ、安定したアプリケーションのシャットダウンが保証されるようになりました。
Jira:RHEL-68424[1]
エントリー RDN が接尾辞 DN と同じ値を持つ場合でも再インデックス化が失敗しない
この更新前は、エントリーの相対識別名 (RDN) がディレクトリー内の接尾辞識別名 (DN) と同じ値を持つ場合、entryrdn
インデックスが壊れていました。その結果、Directory Server が遅い検索リクエストを実行したり、無効な結果を返したり、エラーログに警告メッセージを書き込んだりする可能性がありました。
この更新により、再インデックス化が期待どおりに機能するようになりました。
Jira:RHEL-69819[1]