第23章 認証および相互運用性
keep alive エントリーのロギングレベルの変更
keep alive エントリーは、スキップされた更新が、一部レプリケーションで複数回評価されないようにするために使用されます。多数の更新がスキップされると、これらのエントリーは非常に頻繁に更新できます。また、各エントリーは、更新前にすでに存在するかどうかを確認するためにテストされるため、一意のエントリーのみが作成されます。
このテストは以前は
Fatal
レベルでログに記録されていたため、フィルターリングできなかった不要なメッセージでエラーログが入力されていました。今回の更新で、keep alive エントリーのログレベルが Fatal
から Replication debugging
(8192
)に変更され、エントリーをフィルターリングできるようになりました。(BZ#1314557)
cleanAllRUV タスクが false attrlist_replace
エラーをログに記録しなくなる
cleanAllRUV タスクのメモリー破損のバグにより、
attrlist_replace
エラーメッセージが誤ってログに記録されていました。このタスクは、メモリーコピーに別の関数を使用するように更新され、誤ったエラーメッセージをログに書き込まなくなりました。(BZ#1288229)
接続オブジェクトのデッドロックが発生しなくなる
以前のバージョンでは、不要なロックが接続オブジェクトで取得される可能性があり、デッドロックが生じる可能性がありました。不要なロックを削除するパッチが適用され、デッドロックが発生しなくなりました。(BZ#1278755)
簡単なページ結果検索の破棄要求によってクラッシュが発生しなくなる
今回の更新以前は、Directory Server は、破棄チェックが完了した後、結果が完全に送信される前に、破棄された結果検索の破棄要求を受け取る可能性がありました。この場合、結果の送信中に破棄要求が処理され、Directory Server がクラッシュしていました。今回の更新で、結果がすでに送信されている間に破棄要求が処理されなくなり、クラッシュが発生しなくなりました。(BZ#1278567)
単純なページ結果検索スロットが、障害後に正しく解放されるようになりました
以前のバージョンでは、簡素なページングされた結果結果検索がバックエンドで失敗した場合、簡素なページングされた結果スロットはリリースされませんでした。そのため、複数の簡単なページ結果スロットを接続オブジェクトに蓄積できます。今回の更新で、検索に失敗すると、簡素なページングされた結果スロットが正しく解放され、未使用の単純なページングされた結果スロットが接続オブジェクトに残されなくなりました。(BZ#1290242)
cn=config
以外の接尾辞では、DES
から AES
パスワード変換を手動で実行する必要があります。
Directory Server が起動すると、データ暗号化標準(DES)アルゴリズムで暗号化した現在のパスワードはすべて、より安全な Advanced Encryption Standard (AES)アルゴリズムを使用するように自動的に変換されます。
DES
- 暗号化されたパスワードは、インデックスなしの内部検索を使用して検出されていましたが、これは非常に大きなユーザーデータベースでは遅すぎるため、起動プロセスがタイムアウトし、Directory Server が起動しない場合がありました。今回の更新で、設定接尾辞 cn=config
のみが DES
パスワードがないかチェックされ、新しい slapi タスク des2aes が利用できるようになりました。管理者は、サーバーを起動して、必要に応じて特定のデータベースの AES
にパスワードを変換できるようになりました。その結果、ユーザーデータベースのサイズに関係なく、サーバーが起動します。(BZ#1342609)
バックエンドデータベースを削除してもデッドロックが発生しなくなる
トランザクション情報は、以前はバックエンドの削除時にデータベースヘルパー関数のいずれかに渡されませんでした。そのため、プラグインがトランザクションによってロックされた領域のデータにアクセスしようとするとデッドロックが発生していました。今回の更新で、トランザクション情報が必要なすべてのデータベースヘルパー関数に渡され、デッドロックが発生しなくなりました。(BZ#1273555)
同じ LDAP 属性を削除して追加すると等価インデックスが正しく更新されるようになりました。
以前は、ldapmodify コマンドを使用して同じ LDAP 属性の複数の値が削除され、同じ操作中に少なくとも 1 つの値が再び追加された場合、等価インデックスは更新されませんでした。そのため、再追加された属性値の正確な検索は、そのエントリーを返しませんでした。インデックスコードのロジックは、エントリー内の少なくとも 1 つの値が変更された場合にインデックスを更新するように変更され、再追加された属性値の正確な検索が正しいエントリーを返すようになりました。(BZ#1290600)
簡単なページ結果検索で破棄要求によってデッドロックが発生しなくなる
以前は、排他的接続ロックは、簡単なページ結果検索で破棄要求に関連するバグ修正の一部として追加されました。ただし、特定の状況では、この新しいロックにより自己デッドロックが発生します。今回の更新で、ロックが再設定され、簡単なページ結果の検索中に自己デッドロックが発生しなくなりました。(BZ#1295947)
簡素なページングされた結果検索では、実際の結果ではなく 0
が返されなくなりました。
以前は、簡素なページングされた結果、
SIZELIMIT_EXCEEDED
などのエラーのために接続が破棄された場合に、破棄されたスロットが適切にクリーンアップされませんでした。その後、このスロットを再利用する検索は、常に 0
を返します。今回の更新で、破棄されたページングされた結果スロットが正しくクリーンアップされ、再利用されたスロットがある場合でも正しい結果が返されるようになりました。(BZ#1331343)
pblock
オブジェクトがないため ACL プラグインがクラッシュしなくなる
十分なパーミッションなしで バインド ユーザーによって永続的な検索(psearch)を起動すると、キャッシュ内のアクセスパーミッションオブジェクトは、初期
pblock
構造を永続構造を参照するようにリセットできませんでした。その結果、アクセス制御リスト(ACL)プラグインは、pblock
オブジェクトがないためにサーバーがクラッシュする可能性がありました。今回の更新で、初期オブジェクトが永続構造にリセットされ、この状況で Directory Server がクラッシュしなくなりました。(BZ#1302823)
レプリケーション changelog が正しく更新を誤ってスキップしなくなりました
changelog イテレーターバッファーのバグにより、バッファーをリロードするときに誤った位置を参照していました。これにより、レプリケーションが変更ログの一部をスキップするため、一部の変更は複製されませんでした。このバグは修正され、変更ログバッファーを誤ってリロードすることでレプリケーションデータの損失が発生しなくなりました。(BZ#1321124)
古いスキーマスタイルを一重引用符で正しく使用できるようになりました。
バージョン 1.3.2 以降、389-ds-base パッケージは RFC 4512 で説明されているスキーマ定義に準拠しており、古いバージョンではスキーマを使用できません。以前のバージョンからの移行を容易にするために、
nsslapd-enquote-sup-oc
パラメーターが導入されました。ただし、このパラメーターの実装には、古いスキーマスタイルを一重引用符で処理できないバグがありました。以下に例を示します。
SYNTAX oid
このバグは修正され、古いスキーマスタイルで一重引用符を使用できるようになりました。
また、今回の更新で、スキーマディレクトリーに古いスタイルスキーマのサポートを追加する
LDAP_SCHEMA_ALLOW_QUOTES
環境変数が導入されました。この機能を有効にするには、/etc/sysconfig/dirsrv-INSTANCE
設定ファイルに以下の変数を設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1303641)
DES
から AES
へのパスワード変換が適切に動作するようになりました。
Red Hat Enterprise Linux 7.1 から 7.2 へのアップグレード中に、
Reversible Password プラグイン
が使用する暗号化アルゴリズムが DES
から AES
に変更になりました。Directory Server は、アップグレード時にすべてのパスワードを新しいアルゴリズムに自動的に変換します。ただし、定義されたバックエンドに top エントリーがない場合は、パスワード変換が 32 エラー
を出して失敗しました。また、変換に失敗しても 389-ds-base は DES
プラグインを無効にしていたため、既存のパスワードはデコードできませんでした。
このバグは修正され、変換するパスワードのバックエンドを検索する際に 389-ds-base がエラーを無視するようになり、
DES
プラグインは、すべてのパスワードが AES
に正常に変換された後にのみ無効になりました。(BZ#1320715)
キープアライブエントリーがレプリケーションを破損しなくなりました。
以前は、レプリケーション中にキープアライブエントリーが過剰に発生する機会が多すぎるため、レプリカ changelog にエントリーを追加する際に競合状態が発生し、操作がレプリケーションからドロップされる可能性がありました。今回の更新により、不要なキープアライブエントリーの作成がなくなり、レプリケーション中にキープアライブエントリーで操作が不足しなくなりました。(BZ#1307151)
次のセッションで失敗したレプリケーションの更新が適切に再試行されるようになりました。
レプリカの更新がコンシューマー側で失敗し、その後に成功した更新が続くと、コンシューマーのレプリケーションステータスは正常な更新によって更新され、コンシューマーは最新の状態であるかのように表示されました。その結果、失敗した更新は再試行されず、データの損失が発生していました。今回の更新により、レプリケーションの失敗が接続を閉じ、レプリケーションセッションを停止するようになりました。これにより、追加の更新がコンシューマーのレプリケーションステータスを変更しないようにし、サプライヤーが次のセッションで失敗した操作を再試行できるようにし、データの損失を防ぎます。(BZ#1310848)
LICENSE
ファイルに正しいライセンス情報が表示されるようになりました。
以前は、rpm -qi 389-ds-base コマンドの出力に以前のライセンスフィールド
GPLv2 (例外あり)が表示されていました
。この問題は修正され、389-ds-base パッケージで LICENSE
ファイルに正しいライセンス情報( GPLv3+
ライセンス)が提供されるようになりました。(BZ#1315893)
管理者がリセットしたパスワードがパスワード履歴に保存されるようになりました。
管理者によりユーザーパスワードがリセットされると、古いパスワードはユーザーのパスワード履歴に保存されていませんでした。これにより、ユーザーはリセット後に同じパスワードを再利用できました。今回の更新により、管理者が手動でリセットされるパスワードがパスワード履歴に保存されるようになり、ユーザーは別のパスワードを使用する必要があります。(BZ#1332709)
複数のプラグインで拒否されたエントリーが検索に表示されなくなる
以前は、エントリーが複数のバックエンドトランザクションプラグイン(
Auto Membership
や Managed Entry
など)で同時に拒否された場合、エントリーキャッシュは一貫性のない状態のままになりました。これにより、エントリーが追加されていなくても、検索でエントリーを返すことができました。今回の更新で、追加 操作が失敗した場合にエントリーの識別名(DN)を保存するエントリーキャッシュが適切にクリーンアップされ、拒否されたエントリーが ldapsearch によって返されなくなりました。(BZ#1304682)
オプションなしで db2index
を実行してもレプリケーションが失敗しなくなる
オプションなしで
db2index
スクリプトを実行すると、これらのエントリーに親エントリーがないため、スクリプトはディスク上の Replica Update Vector (RUV)エントリーの処理に失敗していました。既存の RUV はスキップされ、新しい RUV が代わりに生成され、ID の不一致が原因で次のレプリケーションが失敗しました。今回の更新で、db2index
の RUV エントリーの処理が修正され、オプションを指定せずにこのスクリプトを実行しても、レプリケーションが失敗することはなくなりました。(BZ#1340307)
ビジーなデータベースの削除時に Directory Server がクラッシュしなくなる
以前は、インポートの進行中にコンソールを使用してバックエンドデータベースを削除しようとすると、Directory Server がクラッシュしていました。今回の更新により、削除スクリプトは最初にバックエンドがビジーかどうかを確認し、削除が安全である場合にのみ続行されるようになりました。したがって、この状況で Directory Server がクラッシュしなくなりました。(BZ#1355760)
重複する ID エラーが原因でコンシューマーのマスターへのプロモートに失敗しなくなりました。
以前のバージョンでは、コンシューマーインスタンスをマスターにプロモートすると、レプリカ更新ベクトル(RUV)の最後に新しい要素が追加されました。ただし、新たにプロモートされたマスターから複製しようとすると、リモートは最後のマスターではなく RUV の最初の要素をチェックし、ID が重複しているためレプリケーションセッションを中止していました。今回の更新により、レプリカをマスターにプロモートする際に RUV が再設定され、以前にレプリカされていたマスターからのレプリケーションが失敗しなくなりました。(BZ#1278987)
nsslapd
が作業ディレクトリーを正しく設定
以前のバグ修正で発生したリグレッションにより、
nsslapd
は systemd
によってデフォルトで作業ディレクトリー( nsslapd-workingdir
属性)の設定を省略します。このバグは修正され、作業ディレクトリーは起動時に再度設定されました。(BZ#1360447)
IdM アップグレードスクリプトが正常に実行されるようになりました。
以前は、Identity Management (IdM)サーバーのアップグレードスクリプトは、バージョン変更を検出できませんでした。その結果、IdM サーバーのアップグレードに失敗していました。このバグは修正され、アップグレードが正常に実行されるようになりました。(BZ#1290142)
libkadm5*
ライブラリーが libkadm5 パッケージに移動しました。
Red Hat Enterprise Linux 7.3 では、
libkadm5*
ライブラリーが krb5-libs から新しい libkadm5 パッケージに移動しました。これにより、yum は krb5-libs パッケージを自動的にダウングレードできません。ダウングレードを行う前に、libkadm5 パッケージを手動で削除します。
# rpm -e --nodeps libkadm5
パッケージを手動で削除したら、yum downgrade コマンドを使用して krb5-libs パッケージを以前のバージョンにダウングレードします。(BZ#1347403)
シングルサインオンが、複数の AD フォレストルートドメインとの信頼で正しく機能するようになりました。
以前は、Identity Management (IdM)が相互に信頼する 2 つの異なる Active Directory (AD)フォレストへの信頼を確立し、IdM がいずれかの DNS サブドメインに設定されている場合、他の AD フォレストは IdM と AD との間で名前接尾辞のルーティングの競合を報告していました。その結果、IdM と、名前ルーティングの競合を特定した AD フォレストとの間で、シングルサインオンに失敗していました。この手順では、信頼を確立する際にこのような競合を検出するようになりました。信頼の確立中に AD 管理者の認証情報を指定すると、除外エントリーが自動的に作成され、名前接尾辞のルーティングの競合が解決されます。これにより、IdM が AD フォレストの DNS サブドメインにデプロイされると、シングルサインオンが期待どおりに機能します。(BZ#1348560)
特定の multilib SSSD パッケージが原因で Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗しなくなりました。
SSSD (System Security Services Daemon)の一部として提供される
sssd-common
パッケージおよび sssd-krb5
-common パッケージは、複数のアーキテクチャーに対応しなくなりました。以前は、パッケージが 32 ビットバージョンと 64 ビットバージョンの両方でインストールされると、Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗していました。この問題を修正するために、Red Hat Enterprise Linux 7.3 から 32 ビットバージョンの sssd-common
および sssd-krb5-common
が削除されました。これにより、アップグレードが正常に実行されるようになります。(BZ#1360188)
OpenLDAP が NSS 設定を正しく設定
以前は、OpenLDAP サーバーはネットワークセキュリティー設定(NSS)コードの誤った処理を使用していました。そのため、olcTLSProtocolMin などの特定の NSS オプションが正しく機能しませんでした。今回の更新でバグに対応し、影響を受ける NSS オプションが期待どおりに機能するようになりました。(BZ#1249093)
スマートカードで Kerberos を使用する場合、sudo コマンドが正しく機能するようになりました。
以前は、フォーク操作中に、
pam_krb5
モジュールが多くのファイル記述子に閉じられていました。その結果、/etc/passwd
ファイルの最初の 4096 文字内にパスワードエントリーが見つからない場合、Kerberos およびスマートカードを使用して認証するユーザーの sudo コマンドは失敗していました。このバグが修正され、nsswitch などのライブラリーがファイル記述子を使用でき、sudo が正常に機能するようになりました。(BZ#1263745)
Certificate System は、CSR の PKCS#10 拡張のサポートを復元します。
以前は、外部署名証明書を使用した Certificate System のインストール時に生成される証明書署名要求(CSR)には、一部の外部認証局(CA)で必要な PKCS#10 拡張が含まれていませんでした。今回の更新で、Certificate System は、基本的な制約やキーの使用拡張機能、および任意のユーザー定義拡張を含む、デフォルトの拡張機能で CSR を作成するようになりました。(BZ#1329365)
IdM CA サービスが IPv6 のみのインストールで正常に起動するようになりました。
以前は、IPv6 用にのみ設定されたシステムでは、Identity Management (IdM)のインストール時に
pki-tomcat
サービスが IPv4 ループバックデバイスに誤ってバインドされていました。そのため、認証局(CA)サービスは起動できませんでした。IdM 設定は、IPv6 プロトコルのみが設定されているシステムで IPv6 ループバックデバイスにバインドするようになりました。その結果、CA サービスが正常に起動します。(BZ#1082663)
pki コマンドが失効の詳細を表示するようになりました。
この更新により、pki サブコマンド cert-show および cert-find は、以下のような取り消された証明書に関する情報を表示するようになりました。
- 失効日
- 取り消し(BZ#1224382)
ipa-replica-install --setup-dns が DNS にすでに存在する DNS 名の DNS ゾーンを作成しなくなりました。
以前は、
ipa-replica-install
ユーティリティーで --setup-dns オプションを使用すると、その DNS ゾーンが別の DNS サーバーに存在している場合でも、プライマリー Identity Management (IdM)ドメイン名と IdM サーバーのゾーン名と同じ DNS ゾーンが常に作成されていました。これにより、複数の DNS サーバーがドメインの権威サーバーとして誤って機能した場合に、クライアント側で特定の問題が生じました。この問題を修正するために、IdM は、他の DNS サーバーにすでに存在する場合に DNS ゾーンを作成しなくなりました。IdM インストーラーは競合を適切に検出し、このような状況ではインストールに失敗します。(BZ#1343142)
他のモジュールと使用すると idmap_hash モジュールが正しく機能するようになりました。
以前は、idmap_hash モジュールは、他のモジュールとともに使用されていると誤って機能していました。そのため、ユーザー ID とグループ ID が適切にマッピングされませんでした。設定済みのモジュールをスキップするパッチが適用されました。ハッシュモジュールは、デフォルトの idmap 設定バックエンドとして使用でき、ID は正しく解決されるようになりました。(BZ#1316899)
CA が netHSM への接続を失うと、CRL がより少ないメッセージを生成するようになりました。
以前は、CA が Thales netHSM への接続を失うと、CRL 生成が CRL 生成の途中で HSM や LDAP などの依存コンポーネントが利用できないことが原因でループに入る可能性がありました。その結果、プロセスは CA が再起動するまで、大量のデバッグログメッセージを生成していました。今回の更新で、ループの速度を低下させる修正が提供され、上記のシナリオで生成されるデバッグメッセージの量が大幅に削減されるようになりました。(BZ#1308772)
Gemalto Safenet LunaSA (HSM)でインストールされると、KRA がキーの回復に失敗しなくなりました。
以前は、Gemalto Safenet LunaSA ハードウェアセキュリティーモジュール(HSM)にインストールされている場合、Red Hat Certificate System キーリカバリー認証局(KRA)サブシステムはキーを回復できませんでした。HSM が FIPS 以外のモードに設定されている場合、パッチが適用され、リカバリーが期待どおりに機能するようになりました。(BZ#1331596)
より安定した Directory Server のプロセスサイズ
以前は、Directory Server は
glibc
ライブラリーで提供されるデフォルトのメモリーアロケーターを使用していました。このアロケーターは、Directory Server の malloc ()
および free
()パターンを処理するのに十分な効率的ではありませんでした。その結果、Directory Server のメモリー使用量が非常に高くなる可能性があり、OOM (Out of Memory) Killer が ns-slapd
プロセスを強制終了する可能性がありました。今回の更新で、Directory Server は tcmalloc
メモリーアロケーターを使用するようになりました。その結果、Directory Server のプロセスサイズは大幅に低く、安定します。(BZ#1186512)
ns-slapd
は、pin.txt
ファイルが見つからない場合にピンを正しく要求するようになりました
以前のリリースでは、389-ds-base は、
systemd
が標準入力をキャプチャーし、389-ds-base が使用を試みていた 389-ds-base が標準出力を出力するため、pin.txt
ファイルが見つからない場合にピンを要求するプロンプトを表示しませんでした。今回の更新で、389-ds-base は起動時に systemd
がシステムで実行されているかどうかを検出し、必要な場合は正しい systemd
API を使用してパスワードプロンプトを表示するようになりました。したがって、Directory Server は pin.txt
ファイルなしで起動できます。これにより、管理者は nssdb
パスワードをシステムから離れることができます。(BZ#1316580)
レプリカ合意の更新ステータスに、レプリカ合意の失敗に関する詳細が含まれるようになりました。
これまでレプリカ合意の更新ステータスには、エラーが発生した後の一般的なメッセージのみが表示されていたため、レプリカ合意の失敗のトラブルシューティングが困難でした。今回のリリースより、更新ステータスには詳細なエラーメッセージが含まれるようになりました。その結果、すべてのレプリカ合意の更新の失敗が正しく行われ、正確にログに記録されます。(BZ#1370300)
IdM が、より大きなデフォルトのロックテーブルサイズ値を使用するようになりました。
以前は、Identity Management (IdM)データベースのロック数が低くなっていました。その結果、多数のグループメンバーシップ属性を更新すると失敗する可能性があります。この問題に対処するために、デフォルトのロックテーブルサイズが
10000
から 100000
に増えました。その結果、多数のグループメンバーシップ属性の更新に失敗しなくなりました。(BZ#1196958)
ipa-server-certinstall コマンドが、外部署名証明書のインストールに失敗しなくなる
以前は、ipa-server-certinstall コマンドを使用した外部署名証明書のインストール
- 以前の証明書は、Certificate System で追跡されませんでした。
- 新しい外部証明書は、Certificate System によって追跡されました。
- NSS データベースで最初に見つかった証明書が使用されました。
そのため、ipa-server-certinstall コマンドは、外部の認証局(CA)により署名され、サービスを開始できなかったときに、LDAP および Web サーバーの新しい証明書のインストールに失敗していました。コマンドが修正され、Identity Management (IdM) CA が発行する証明書のみを追跡するようになりました。その結果、新しい証明書が正しくインストールされ、上記のシナリオで LDAP および Web サーバーの起動に失敗しなくなりました。(BZ#1294503)
default_domain_suffix
が設定されている場合や、完全修飾名が含まれる場合に sudo
ルールが正しく機能するようになりました。
以前は、
sudo
ユーティリティーは、このような状況で sudo
ルールを正しく評価しませんでした。
default_domain_suffix
オプションが/etc/sssd/sssd.conf
ファイルで使用されている場合sudo
ルールで完全修飾ユーザー名を使用する場合
そのため、
sudo
ルールは機能しませんでした。今回の更新で、SSSD (System Security Services Daemon)が sudo
ルールを変更し、上記の状況で sudo
が正しく評価されるようになりました。(BZ#1300663)
SSSD のデフォルト設定ファイルからプロキシー設定が削除される
以前は、System Security Services Daemon (SSSD)
/usr/lib64/sssd/conf/sssd.conf
のデフォルト設定ファイルは、自動設定ドメインを使用して、すべての要求を /etc/passwd および /etc/groups ファイルにプロキシーしていました。このプロキシー設定は、realmd や ipa-client-install などの他のユーティリティーと統合できませんでした。非互換性を修正するために、[domain/shadowutils]
プロキシー設定が削除され、SSSD が正常に機能するようになりました。(BZ#1369118)
sss_override ユーティリティーでの表示、検索、エクスポートの操作が正しく機能するようになりました。
Red Hat Enterprise Linux 7.3 では、SSSD (System Security Services Daemon)にローカルオーバーライドが導入されました。リグレッションにより、-n オプションなしでオーバーライドが作成されると、sss_override コマンドが失敗しました。このバグが修正され、sss_override が正しく機能するようになりました。(BZ#1373420)
IdM にホームディレクトリーがない場合、ipa
コマンドが失敗しなくなりました。
以前は、Identity Management (IdM)がホームディレクトリーの
~/.cache/ipa
にキャッシュディレクトリーを作成できない場合、すべての ipa
コマンドに失敗していました。この状態は、たとえば、ユーザーにホームディレクトリーがない場合などに発生しました。今回の更新で、キャッシュを作成またはアクセスできない場合でも、IdM は機能を継続できるようになりました。このような場合、すべてのメタデータを繰り返しダウンロードする必要があるため、ipa
コマンドは完了するまでに時間がかかる場合があります。(BZ#1364113)
IdM コマンドラインインターフェイスのヘルプの表示に予期しない時間がかかりなくなる
ユーザーが --help オプションを使用して
ipa
ユーティリティーを実行すると、ipa
はプラグインおよびコマンドから必要な情報を収集します。以前は、プラグインおよびコマンドは Python モジュールでした。今回のリリースにより、ipa
はサーバーからダウンロードしたスキーマに基づいてプラグインおよびコマンドを生成するようになりました。
このため、特にヘルプにトピックとコマンドのリストが含まれる場合、ヘルプの表示は以前のバージョンの Identity Management (IdM)よりも大幅に長くなることがありました。このバグは修正され、--help で
ipa
の実行に必要な時間が短縮されました。(BZ#1356146)
以前のバージョンの IdM を持つサーバーでのコマンドの実行に時間がかかることがなくなりました。
IdM バージョン 4.4 を実行している Identity Management (IdM)クライアントのユーザーがコマンドを実行すると、IdM はクライアントが問い合わせたサーバーが新しいコマンドスキーマをサポートしているかどうかを確認します。この情報はキャッシュされないため、クライアントがサーバーに問い合わせるたびにチェックが実行されます。これは以前は、以前のバージョンの IdM を実行しているサーバーでコマンドを呼び出すために必要な時間を延長していました。ユーザーが IdM 4.4 に導入された新しいコマンドを実行すると、サーバーが コマンドを認識しないため、操作がまったく完了していないように見えることがあります。このバグが修正され、上記の状況で IdM コマンドの実行に予期しない時間がかかりなくなりました。(BZ#1357488)
信頼された AD フォレストの tree-root ドメインがフォレストルートを介して到達可能としてマークされるようになりました。
Active Directory (AD)フォレストに tree-root ドメイン(別の DNS ドメイン)が含まれる場合、Identity Management (IdM)は認証要求を tree-root ドメインのドメインコントローラーに正しくルーティングできない場合があります。そのため、Tree-root ドメインのユーザーは、IdM でホストされるサービスに対して認証できませんでした。今回の更新でバグが修正され、tree-root ドメインのユーザーはこの状況で期待どおりに認証できるようになりました。(BZ#1318169)
IdM Web UI は、予想通りにサブ CA が発行する証明書を表示します。
認証局(CA)が発行する証明書を表示するには、IdM Web UI は ipa cert-find コマンドを使用して CA 名をクエリーし、ipa cert-show コマンドを使用します。以前は、ipa cert-show は CA 名を使用していませんでした。そのため、サブ CA が発行する証明書の詳細ページを表示しようとすると、Web UI でエラーで失敗しました。このバグは修正され、Web UI は証明書の詳細ページを予想通りに表示できるようになりました。(BZ#1368424)
certmonger
が IdM サブ CA からの証明書の要求に失敗しなくなる
certmonger
サービスは、以前は誤った API 呼び出しを使用して IdM サブ認証局(サブ CA)から証明書を要求していました。その結果、サブ CA 設定は無視され、証明書は常に IdM ルート CA によって発行されました。今回の更新でバグが修正され、certmonger
は IdM サブ CA からの証明書を予想通りに要求するようになりました。(BZ#1367683)
カスタムキーを使用した IdM OTP トークンの追加が期待どおりに機能する
ユーザーが --key オプションを指定して ipa otptoken-add コマンドを実行し、新しいワンタイムパスワード(OTP)トークンを追加すると、Identity Management (IdM)コマンドラインはユーザーが提供するトークンキーを誤って変換します。そのため、IdM で作成された OTP トークンが無効になり、OTP トークンを使用した認証の試行に失敗していました。今回の更新でバグが修正され、この状況で作成された OTP トークンが有効になります。(BZ#1368981)
EE ページを使用して管理者証明書の Web ブラウザーへのインポートが可能に
以前は、EnrollSuccess.template を使用して Certificate System 管理者証明書を Web ブラウザーにインポートすると、以下のエラーで失敗していました。
Error encountered while rendering a response.
今回の更新により、以下の手順に従って証明書をインポートできるようになりました。
1.
pki-tomcatd
サービスを停止します。
systemctl stop pki-tomcatd@pki-tomcat.service
2.
/etc/pki/pki-tomcat/ca/CS.cfg
ファイルを編集し、以下を追加します。
ca.Policy.enable=true cmsgateway.enableAdminEnroll=true
3.
pki-tomcatd
サービスを起動します。
systemctl start pki-tomcatd@pki-tomcat.service
4.新しい Firefox プロファイルを作成します。
5.エンドエンティティー(EE)ページに移動し、Retrieval タブを選択します。
6.CA 証明書をインポートし、信頼できる証明書として設定します。
7.新しい Firefox プロファイル内で https://pki.example.com:8443/ca/admin/ca/adminEnroll.html にアクセスし、フォームに入力します。
8.新しい管理者証明書ソースが生成されます。これを新しい Firefox プロファイルにインポートします。
証明書が正常にインポートされたことを確認するには、それを使用して Agents ページに移動します。(BZ#1274419)