11.10. Identity Management

ipa idrange-add コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる

以前は、ipa idrange-add コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。

Jira:RHELDOCS-18201^[1]

ipa-replica-manage コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew 設定をリセットしなくなる

以前は、設定された値に関係なく、ipa-replica-manage force-sync コマンドは、nsslapd-ignore-time-skew 設定を off にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew 設定が上書きされなくなりました。

Jira:RHEL-4879

certmonger が、非表示のレプリカ上の KDC 証明書を正しく更新するようになる

以前は、証明書の有効期限が近づいたときに、certmonger が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。

Jira:RHEL-46607^[1]

期限切れのトークンを使用した 2 要素認証の回避ができなくなる

以前は、特定の有効期限を持つ OTP トークンを作成することで、2 要素認証を回避できました。

2 要素認証が強制されている場合、OTP トークンを持たないユーザーは、パスワードを使用して 1 回 ログインし、OTP トークンを設定できます。その後、認証にはパスワードと OTP トークンの両方を使用する必要があります。ただし、ユーザーが有効期限の終了日が過ぎた OTP トークンを作成した場合、IdM は誤ってパスワードのみの認証にフォールバックし、事実上 2 要素認証を回避します。これは、IdM が、存在しない OTP トークンと期限切れの OTP トークンを区別しなかったために発生しました。

この更新により、IdM はこれらのシナリオを正しく区別できるようになりました。その結果、2 要素認証が正しく実施され、この回避が阻止されるようになりました。

Jira:RHEL-63325^[1]

Account Policy プラグインが、レプリケーショントポロジーの更新に適切なフラグを使用するようになる

この更新前は、Account Policy プラグインは更新に適切なフラグを使用していませんでした。その結果、レプリケーショントポロジーでは、Account Policy プラグインがログイン履歴を更新しましたが、この更新はコンシューマーサーバー上で失敗し、次のエラーメッセージが記録されました。

{{ERR - acct_update_login_history - Modify error 10 on entry
}}

{{ERR - acct_update_login_history - Modify error 10 on entry
}}

Copy to Clipboard

Toggle word wrap

この更新により、内部更新は成功し、エラーは記録されません。

Jira:RHEL-74164

TLS 1.3 を使用して、FIPS モードで実行されている LDAP サーバーに接続できるようになる

この更新前は、FIPS モードで LDAP サーバーに接続するときに TLS 1.3 を明示的に設定しようとすると、使用される TLS バージョンは 1.2 のままでした。その結果、TLS 1.3 を使用して LDAP サーバーに接続しようとしても失敗しました。この更新により、FIPS モードにおける TLS バージョンの上限が 1.3 に変更され、TLS 1.3 を使用した LDAP サーバーへの接続試行が失敗しなくなりました。

Jira:RHEL-79498^[1]

ページ結果検索における競合状態が解消され、T3 エラーコードによって接続が切断されなくなる

この更新前は、Directory Server は、タイムアウトイベントの接続のページ結果データをチェックするときに適切なスレッド保護を使用していませんでした。その結果、新たな操作が到着した際に、ページ結果のタイムアウト値が予期せず変更され、誤ったタイムアウトが発生してしまいました。これによりタイムアウトエラーが発生し、次の T3 エラーコードで接続が閉じられました。

ページ結果検索の指定された時間制限を超えたため、サーバーが接続を閉じました。

この更新により、適切なスレッド保護が使用されるようになり、ページ結果検索で接続が T3 エラーコードによって切断されることはなくなりました。

Jira:RHEL-76020^[1]

ldapsearch が NETWORK_TIMEOUT 設定を期待通りに考慮するようになる

この更新前は、サーバーに到達できない場合、ldapsearch コマンドはタイムアウトを無視し、その結果、検索はタイムアウトになる代わりに無期限にハングしていました。この更新では、接続再試行とソケットオプションを調整することで、TLS 処理のロジックエラーが修正されました。

その結果、ldapsearch コマンドは NETWORK_TIMEOUT 設定を無視しなくなり、タイムアウトに達すると次のエラーを返すようになりました。

  `ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.

  `ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.

Copy to Clipboard

Toggle word wrap

Jira:RHEL-68773

OpenLDAP ライブラリーは、リソースを解放しようとしても失敗しなくなる

この更新前は、OpenLDAP ライブラリーは、アプリケーションが直接または atexit() 関数経由で OPENSSL_cleanup() 関数を呼び出してこれらのリソースをすでにクリーンアップしているときに、デストラクターで SSL_CTX_free() 関数を使用してメモリーを解放しようとしていました。その結果、無効な SSL_CTX_free() 呼び出しによって、すでにクリーンアップされた SSL コンテキストリソースが解放されようとしたときに、ユーザーは障害や未定義の動作を経験しました。

この更新により、OpenLDAP のデストラクターで SSL コンテキストのクリーンアップをスキップするための安全なクリーンアップ関数が追加されました。その結果、SSL コンテキストは明示的に解放されない場合にリークされ、安定したアプリケーションのシャットダウンが保証されるようになりました。

Jira:RHEL-68424^[1]

エントリー RDN が接尾辞 DN と同じ値を持つ場合でも再インデックス化が失敗しない

この更新前は、エントリーの相対識別名 (RDN) がディレクトリー内の接尾辞識別名 (DN) と同じ値を持つ場合、entryrdn インデックスが壊れていました。その結果、Directory Server が遅い検索リクエストを実行したり、無効な結果を返したり、エラーログに警告メッセージを書き込んだりする可能性がありました。

この更新により、再インデックス化が期待どおりに機能するようになりました。

Jira:RHEL-69819^[1]

トップに戻る

11.10. Identity Management

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links