第54章 認証および相互運用性
軽量 CA キーの取得に失敗した後にクラッシュが報告される
Identity Management (IdM) を使用する場合、軽量認証局 (CA) キーの取得が何らかの理由で失敗すると、操作はキャッチされない例外で予期せず終了します。例外によりクラッシュレポートが生成されます。(BZ#1478366)
OpenLDAP により、設定が正しくない場合にプログラムが即座に失敗します
以前は、Mozilla のネットワークセキュリティーサービス (Mozilla NSS) の実装は、OpenLDAP スイートの特定の設定ミスを黙って無視していました。そのため、プログラムは接続の確立時にのみ失敗しました。この更新により、OpenLDAP は Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、TLS コンテキストがすぐに確立されるため、プログラムはすぐに失敗します。この動作により、動作していない TLS ポートを開いたままにするなど、潜在的なセキュリティーリスクが防止されます。
この問題を回避するには、OpenLDAP 設定を確認して修正します。(BZ#1515833)
CACertFile または CACertDir が無効な場所を指している場合、OpenLDAP はエラーを報告します
以前は、CACertFile または CACertDir オプションが読み取り不能またはアンロード可能な場所を指している場合、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装は必ずしもそれを設定ミスとはみなしていませんでした。この更新により、OpenLDAP スイートは Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、CACertFile または CACertDir がそのような無効な場所を指している場合、問題が黙って無視されることはなくなりました。
失敗を回避するには、誤って設定されたオプションを削除するか、それがロード可能な場所を指していることを確認してください。
さらに、OpenLDAP は、CACertDir が指すディレクトリーの内容に対して、より厳格なルールを適用するようになりました。このディレクトリーで証明書を使用するときにエラーが発生する場合は、ディレクトリーが不整合な状態にある可能性があります。この問題を解決するには、フォルダーに対して cacertdir_rehash コマンドを実行します。
CACertFile および CACertDir の詳細については、man ページ ldap.conf (5)、slapd.conf (5)、slapd-config (5)、および ldap_set_option (3) を参照してください。(BZ#1515918、BZ#1515839)
cn=config で一貫性のない変更を行った後、OpenLDAP が TLS 設定を更新しません
この更新により、OpenLDAP は、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、
cn=config データベース内の TLS 設定の一貫性のない変更により、サーバー上の TLS プロトコルが壊れ、設定が期待どおりに更新されません。この問題を回避するには、変更レコードを 1 つだけ使用して cn=config の TLS 設定を更新します。変更レコードの定義については、ldif (5) の man ページを参照してください。(BZ#1524193)
Identity Management が接続を予期せず終了する
Directory Server のバグにより、Identity Management (IdM) は一定時間が経過すると接続を予期せず終了し、認証は次のエラーで失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、オフラインメディアから Red Hat Enterprise Linux 7.5 に IdM をインストールした場合に発生します。この問題を回避するには、yum update を実行して、問題を修正する更新された 389-ds-base パッケージを受信します。(BZ#1544477)
Directory Server がシャットダウン中に予期せず終了することがある
Directory Server は、
nunc-stans フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられた場合、nunc-stans ジョブは解放された接続構造にアクセスできます。その結果、Directory Server が予期せず終了する可能性があります。この状況はシャットダウンプロセスの後期の状態で発生するため、データが破損したり失われたりすることはありません。現在のところ、回避策はありません。(BZ#1517383)
