12.11. SSSD

今回のアップデート以前は、ドメインに接続してパスワードを更新する際、adcli は常にキータブファイルの最初のエントリーの Kerberos レルムを使用していました。その結果、キータブに複数のレルムが含まれているシステムでは、必要なレルムが最初にリストされていない場合、"no suitable keys" というエラーで更新プロセスが失敗していました。今回のリリースでは、adcli は、キータブ内でターゲットドメインに一致するプリンシパルを検索するようになりました。これにより、キータブ内のエントリーの順序に関係なく、マシンアカウントのパスワード更新が成功するようになりました。

Jira:RHEL-2518

今回のアップデート以前は、adcli testjoin コマンドは診断テストを実行する際に、keytab ファイルで最初に見つかったエントリーのドメインまたはレルムを無条件に使用していました。その結果、キータブに複数のドメインのプリンシパルが含まれているシステムでは、adcli testjoin は誤ったドメインに接続しようとして、"Realm not local to KDC" というエラーで失敗することがよくあります。

今回のリリースでは、ドメインが明示的に指定されていない場合、adcli はキータブのレルムをドメイン名として使用します。その結果、ユーザーは誤った認証失敗に遭遇することなく、ドメイン接続性を確実に検証できるようになります。

Jira:RHEL-5044

今回のアップデート以前は、たとえば、sAMAccountName 属性の代わりに @ 文字を含む User Principal Name (UPN) 形式でのユーザー作成が原因で、adcli が無効な文字を含む sAMAccountName を持つユーザーオブジェクトが作成されていました。その結果、そのユーザーに関連する Active Directory (AD) の操作が正常に動作しなくなる可能性がありました。今回のリリースでは、adcli は、ユーザー作成の入力文字列を、不正な文字のリストと照合して検証してから、エントリーの作成を試みます。その結果、入力されたものが有効な sAMAccountName 値でない場合、adcli はユーザー作成を終了します。これにより、不正なユーザーオブジェクトの作成が阻止され、AD がよりスムーズに動作するようになります。

Jira:RHEL-5050^[1]