Red Hat Summit第4章 認証および相互運用性
ca.subsystem.certreq パラメーターが欠落していると報告されなくなりました
以前は、Identity Management (IdM)では、
ca.subsystem.certreq パラメーターが CS.cfg 公開鍵インフラストラクチャー(PKI)設定ファイルで定義されている必要がありました。IdM サーバーの起動時、ca.subsystem.certreq がない場合はエラーが発生しました。PKI サービスも IdM サービスもパラメーターを使用しないため、エラーは必要ありませんでした。この問題を修正するために、PKI コードが更新され、パラメーターが存在する場合にのみ取得されるようになりました。(BZ#1313207)
CS.cfg の予期しないコメント行により、ipa-server-install ユーティリティーが予期せず終了しなくなりました。
以前は、pki-common パッケージの問題が原因で、Identity Management サーバーをインストールしようとすると失敗することがありました。解析された
CS.cfg 認証局(CA)設定ファイルに設定前に予期しないコメント行が含まれていたため、失敗していました。この問題は、解析コードにコメントと空白行を無視することで修正されました。(BZ# 1306989)
Java 1.8 がインストールされている場合に IdM サーバーのインストールが失敗しなくなる
Identity Management (IdM)に含まれる公開鍵インフラストラクチャー(PKI)サーバーは、Red Hat Enterprise Linux 6 の Java バージョン 1.7 をサポートします。
java -1. 8 パッケージがインストールされ、alternatives ユーティリティーを使用して現在のシステム java として選択されているシステムでは、ipa- server-install インストールスクリプトが失敗しました。この問題を修正するために、代替 を使用して選択した Java のバージョンに関係なく、PKI サーバーを常に OpenJDK バージョン 1 . 7 で実行することにより、pki-core コードが更新され、Red Hat Enterprise Linux 6 で 代わり の方法がバイパスされるようになりました。(BZ#1290535)
Samba がシステムの root ディレクトリーを共有するときにアクセスを拒否しなくなりました。
以前は、パスチェックがないため、
/etc/samba/smb.conf ファイルの path = / 設定を使用して、システムの root ディレクトリーを共有する場合に Samba はアクセスを拒否していました。今回の更新により、Samba が / パスをシンボリックリンクとして誤って処理しなくなり、上記の状況でアクセスを誤って拒否しなくなりました。(BZ#1305870)
メモリーリークが修正された後、SELinux でキータブの取得に時間がかかる
以前は、krb5 パッケージの SELinux サポートにより、krb5 メモリーリークが発生していました。このバグは修正されています。SELinux が
Enforcing モードまたは Permissive モードの場合、キータブの取得に以前よりも長い時間がかかることに注意してください。(BZ#1311287)
USN 解析エラーが原因で sudo スマートリフレッシュ更新が失敗しなくなりました
SSSD (System Security Services Daemon)は、OpenLDAP サーバーの
modifyTimestamp 属性の形式を正しく処理しませんでした。その結果、sudo ユーティリティーのスマート更新の更新は機能しませんでした。ユーザーが SSSD を実行して sudo ルールを変更すると、SSSD が Update Sequence Number (USN)スキームを解析できないことを示すエラーが表示されました。今回の更新で問題が修正され、上記の状況でスマート更新の更新が機能するようになりました。(BZ#1312062)
id_provider = ipa が設定されている場合、SSSD が sudo ルールを正しく保存します。
Identity Management バージョン 3.0 以前は、
ipasudocmd 識別名(DN)に異なる形式を使用しています。その結果、/etc/sssd/sssd.conf ファイルで id_provider オプションが ipa に設定されている場合、System Security Services Daemon (SSSD)サービスは sudo ルールを正しく保存できませんでした。今回の更新で問題が修正され、上記の状況で sudo ルールが期待どおりに機能するようになりました。(BZ#1313940)
予想どおりにスマートカード PIN の入力を求めるプロンプトが表示されます。
SELinux ポリシールールが不十分であるため、
sssd_t SELinux ドメインで実行している ppl_child プロセスは、認証キャッシュを管理し、Apache ポートに接続できませんでした。その結果、システムはスマートカード PIN をユーザーに要求しませんでした。selinux-policy パッケージによって提供される SELinux ポリシールールが更新され、この機能が許可されるようになりました。その結果、上記の状況で期待どおりにスマートカード PIN の入力が求められます。(BZ#1299066)
外部署名の CA 証明書を使用する PKI サーバーを Red Hat Enterprise Linux 7 にクローンしても失敗しなくなりました。
以前は、Red Hat Enterprise Linux 6 公開鍵インフラストラクチャー(PKI)サーバーが外部署名認証局(CA)証明書とともにインストールされている場合、サブシステムユーザーは適切に作成されませんでした。そのため、Red Hat Enterprise Linux 7 へのクローン作成は失敗していました。
Red Hat Enterprise Linux 6 の新規インストールでは、サブシステムユーザーを作成し、それをサブシステムグループに追加し、サブシステム証明書をユーザーに正しくマッピングするようにコードが修正されました。既存の Red Hat Enterprise Linux 6 インストールの場合、再起動時にサブシステムユーザーを自動的に正しい設定に戻すようにコードが変更されました。
その結果、上記の状況で Red Hat Enterprise Linux 7 へのクローン作成が成功するようになりました。(BZ#1256039)
domainname パラメーターが設定されていない場合でも ypserv が失敗しなくなりました
以前は、
domainname パラメーターが /etc/init.d/ ypserv ファイルに設定されていない場合、ypserv サービスは起動できませんでした。この更新により、ドメイン名 のチェックが yppasswdd サービスに移動され、上記の状況では、ypserv が期待どおりに開始されるようになりました。(BZ#456249)
yppasswd が、ユーザーパスワード変更の失敗を正しく報告するようになりました
今回の更新以前は、
yppasswd サービスが yppasswdd ユーザーのパスワードを変更できなかった場合でも、成功を報告していました。書き込み操作が成功したかどうかを確認する yppasswdd にテストが追加されました。その結果、yppasswdd がユーザーパスワードの変更に失敗すると、エラーメッセージがログに記録されるようになりました。(BZ#747334)
ypserv が、存在しないマップを正しく報告するようになりました
以前は、
NIS クライアントが yp_first または yp_next システムコールを使用して存在しないマップを要求した場合、ypserv サービスが誤って内部 NIS エラー メッセージを返していました。今回のリリースより、ypserv はこのシナリオで No such map in server's domain エラーメッセージを正しく返すようになりました。(BZ#988203)
passwd ファイルに空の行または予期しない形式が含まれる場合に mknetid がクラッシュしなくなりました。
以前は、空の行や予期しない形式の
passwd ファイルで mknetid ユーティリティーを使用すると、mknetid が予期せず終了していました。今回の更新により、mknetid は passwd ファイルの冗長要素を無視し、説明した状況でクラッシュしなくなりました。(BZ#1071962)
DHCP の更新ごとに ypbind が再起動しなくなりました
今回の更新以前は、動的ホスト設定プロトコル(DHCP)の更新時に
ypbind サービスが再起動しました。これにより、NIS ルックアップが遅くなり、場合によってはタイムアウトしていました。これで、NIS ドメインまたは NIS ドメインまたは NIS サーバーで何らかの変更が加えられた場合にのみ、DHCP 更新で ypbind が再起動されるようになりました。その結果、NIS ルックアップが高速になり、タイムアウトが少なくなります。(BZ#1238771)
