11.10. Identity Management


ipa idrange-add コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる

以前は、ipa idrange-add コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。

Jira:RHELDOCS-18201[1]

ipa-replica-manage コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew 設定をリセットしなくなる

以前は、設定された値に関係なく、ipa-replica-manage force-sync コマンドは、nsslapd-ignore-time-skew 設定を off にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew 設定が上書きされなくなりました。

Jira:RHEL-4879

certmonger が、非表示のレプリカ上の KDC 証明書を正しく更新するようになる

以前は、証明書の有効期限が近づいたときに、certmonger が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。

Jira:RHEL-46607[1]

期限切れのトークンを使用した 2 要素認証の回避ができなくなる

以前は、特定の有効期限を持つ OTP トークンを作成することで、2 要素認証を回避できました。

2 要素認証が強制されている場合、OTP トークンを持たないユーザーは、パスワードを使用して 1 回 ログインし、OTP トークンを設定できます。その後、認証にはパスワードと OTP トークンの両方を使用する必要があります。ただし、ユーザーが有効期限の終了日が過ぎた OTP トークンを作成した場合、IdM は誤ってパスワードのみの認証にフォールバックし、事実上 2 要素認証を回避します。これは、IdM が、存在しない OTP トークンと期限切れの OTP トークンを区別しなかったために発生しました。

この更新により、IdM はこれらのシナリオを正しく区別できるようになりました。その結果、2 要素認証が正しく実施され、この回避が阻止されるようになりました。

Jira:RHEL-63325[1]

Account Policy プラグインが、レプリケーショントポロジーの更新に適切なフラグを使用するようになる

この更新前は、Account Policy プラグインは更新に適切なフラグを使用していませんでした。その結果、レプリケーショントポロジーでは、Account Policy プラグインがログイン履歴を更新しましたが、この更新はコンシューマーサーバー上で失敗し、次のエラーメッセージが記録されました。

{{ERR - acct_update_login_history - Modify error 10 on entry
}}
Copy to Clipboard Toggle word wrap

この更新により、内部更新は成功し、エラーは記録されません。

Jira:RHEL-74164

TLS 1.3 を使用して、FIPS モードで実行されている LDAP サーバーに接続できるようになる

この更新前は、FIPS モードで LDAP サーバーに接続するときに TLS 1.3 を明示的に設定しようとすると、使用される TLS バージョンは 1.2 のままでした。その結果、TLS 1.3 を使用して LDAP サーバーに接続しようとしても失敗しました。この更新により、FIPS モードにおける TLS バージョンの上限が 1.3 に変更され、TLS 1.3 を使用した LDAP サーバーへの接続試行が失敗しなくなりました。

Jira:RHEL-79498[1]

ページ結果検索における競合状態が解消され、T3 エラーコードによって接続が切断されなくなる

この更新前は、Directory Server は、タイムアウトイベントの接続のページ結果データをチェックするときに適切なスレッド保護を使用していませんでした。その結果、新たな操作が到着した際に、ページ結果のタイムアウト値が予期せず変更され、誤ったタイムアウトが発生してしまいました。これによりタイムアウトエラーが発生し、次の T3 エラーコードで接続が閉じられました。

ページ結果検索の指定された時間制限を超えたため、サーバーが接続を閉じました。

この更新により、適切なスレッド保護が使用されるようになり、ページ結果検索で接続が T3 エラーコードによって切断されることはなくなりました。

Jira:RHEL-76020[1]

ldapsearchNETWORK_TIMEOUT 設定を期待通りに考慮するようになる

この更新前は、サーバーに到達できない場合、ldapsearch コマンドはタイムアウトを無視し、その結果、検索はタイムアウトになる代わりに無期限にハングしていました。この更新では、接続再試行とソケットオプションを調整することで、TLS 処理のロジックエラーが修正されました。

その結果、ldapsearch コマンドは NETWORK_TIMEOUT 設定を無視しなくなり、タイムアウトに達すると次のエラーを返すようになりました。

  `ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.
Copy to Clipboard Toggle word wrap

Jira:RHEL-68773

OpenLDAP ライブラリーは、リソースを解放しようとしても失敗しなくなる

この更新前は、OpenLDAP ライブラリーは、アプリケーションが直接または atexit() 関数経由で OPENSSL_cleanup() 関数を呼び出してこれらのリソースをすでにクリーンアップしているときに、デストラクターで SSL_CTX_free() 関数を使用してメモリーを解放しようとしていました。その結果、無効な SSL_CTX_free() 呼び出しによって、すでにクリーンアップされた SSL コンテキストリソースが解放されようとしたときに、ユーザーは障害や未定義の動作を経験しました。

この更新により、OpenLDAP のデストラクターで SSL コンテキストのクリーンアップをスキップするための安全なクリーンアップ関数が追加されました。その結果、SSL コンテキストは明示的に解放されない場合にリークされ、安定したアプリケーションのシャットダウンが保証されるようになりました。

Jira:RHEL-68424[1]

エントリー RDN が接尾辞 DN と同じ値を持つ場合でも再インデックス化が失敗しない

この更新前は、エントリーの相対識別名 (RDN) がディレクトリー内の接尾辞識別名 (DN) と同じ値を持つ場合、entryrdn インデックスが壊れていました。その結果、Directory Server が遅い検索リクエストを実行したり、無効な結果を返したり、エラーログに警告メッセージを書き込んだりする可能性がありました。

この更新により、再インデックス化が期待どおりに機能するようになりました。

Jira:RHEL-69819[1]

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat