6.9. Identity Management
certmonger
が、非表示のレプリカ上の KDC 証明書を正しく更新するようになりました。
以前は、証明書の有効期限が近づいたときに、certmonger
が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger
がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。
Automembership プラグインがデフォルトでグループをクリーンアップしなくなる
以前は、自動メンバー再構築タスクは最初にすべてのメンバーシップ値を削除し、次にメンバーシップを最初から再構築していました。その結果、特に他の be_txn
プラグインが有効になっている場合は、再構築タスクのコストが高くなりました。
この更新により、Automembership プラグインには次の改善が加えられました。
- 一度に許可される再ビルドタスクは 1 つだけです。
Automembership プラグインが、デフォルトでは以前のメンバーをクリーンアップしなくなりました。新しい CLI オプション
--cleanup
を使用して、最初から再ビルドする前にメンバーシップを意図的にクリーンアップします。# dsconf slapd-instance_name plugins automember fixup -f objectclass=posixaccount -s sub --cleanup "ou=people,dc=example,dc=com"
- 修正の進行状況を表示するためのログ記録が改善されました。
Jira:RHEL-5390[1]
割り当てられたメモリーが操作完了後に解放されるようになりました
以前は、各操作に対して KCM によって割り当てられたメモリーは、接続が閉じるまで解放されませんでした。その結果、接続を開いて同じ接続で多くの操作を実行するクライアントアプリケーションでは、接続が閉じるまで割り当てられたメモリーが解放されないため、メモリーが著しく増加しました。この更新により、操作に割り当てられたメモリーは、操作が完了するとすぐに解放されるようになりました。
IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する
以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。
この更新により、大文字と小文字を区別する比較は、大文字と小文字を区別しない比較に置き換えられました。その結果、IdM クライアントは、ユーザー名に大文字と小文字が混在しており、IdM でオーバーライドが設定されている場合でも、AD の信頼済みドメインのユーザーを検索できるようになりました。
SSSD は、パスワード変更時に猶予ログインが残っていない場合にエラーを正しく返します
以前は、ユーザーの LDAP パスワードの有効期限が切れた場合、猶予ログインが残っていないためにユーザーの最初のバインドが失敗した後でも、SSSD はパスワードの変更を試みていました。しかし、ユーザーに返されたエラーには失敗の理由が示されていませんでした。この更新により、バインドが失敗した場合、パスワード変更要求がキャンセルされるようになりました。SSSD は、猶予ログインが残っていないために別の方法でパスワードを変更する必要があることを示すエラーメッセージを返します。
realm leave
コマンドを使用したドメインからのシステム削除
以前は、sssd.conf
ファイルの ad_server
オプションに複数の名前が設定されている場合、realm leave
コマンドを実行すると解析エラーが発生し、システムがドメインから削除されませんでした。この更新により、ad_server
オプションが適切に評価されるようになり、正しいドメインコントローラー名が使用され、システムがドメインから適切に削除されるようになりました。
KCM は正しい sssd.kcm.log
ファイルにログを記録します
以前、logrotate
は Kerberos Credential Manager (KCM) ログファイルを正しくローテーションしていましたが、KCM はログを誤って古いログファイル sssd_kcm.log.1
に書き込んでいました。KCM を再起動した場合、正しいログファイルが使用されました。この更新により、logrotate
が呼び出されるとログファイルがローテーションされ、KCM は sssd_kcm.log
ファイルに正しくログを記録するようになりました。
realm leave --remove
コマンドが認証情報を要求しなくなる
以前は、realm
ユーティリティーは、realm leave
操作を実行するときに、有効な Kerberos チケットが利用可能かどうかを正しく確認していませんでした。その結果、有効な Kerberos チケットが利用可能であったにもかかわらず、ユーザーはパスワードの入力を求められました。この更新により、realm
は有効な Kerberos チケットがあるかどうかを正しく検証するようになり、realm leave --remove
コマンドを実行するときにユーザーにパスワードの入力を要求しなくなりました。
FIPS モードで IdM Vault 暗号化および復号化に失敗しなくなりました
以前は、IdM Vault は、デフォルトのパディングラッピングアルゴリズムとして OpenSSL RSA-PKCS1v15 を使用していました。しかし、RHEL の FIPS 認定モジュールはいずれも FIPS で承認されたアルゴリズムとして PKCS#1 v1.5 をサポートしていなかったため、IdM Vault は FIPS モードで失敗していました。この更新により、IdM Vault は、RSA-OAEP パディングラッピングアルゴリズムをフォールバックとしてサポートするようになりました。その結果、IdM Vault の暗号化と復号化が FIPS モードで正しく動作するようになりました。
Jira:RHEL-12153[1]
非 CA IdM レプリカのインストールは、サーバーアフィニティーが設定されている場合に失敗しなくなる
一部のシナリオでは、証明機関 (CA) なしで IdM レプリカをインストールすると、CA_REJECTED
エラーが発生して失敗しました。この障害は、certmonger
サービスが証明書を取得しようとしたために発生し、複雑なトポロジーに新しいレプリカを追加したときにレプリケーションの詳細が不完全になりました。
この更新により、IdM レプリカのインストールプロセスは、Kerberos 認証や IdM API および CA 要求などの必要なサービスを提供する特定の IdM サーバーに対して実行されるようになりました。これにより、新しいレプリカを追加するときに完全なレプリケーションの詳細が保証されます。
Kerberos キー配布センターバージョン 1.20 以降では、バージョン 1.18.2 以前を実行している KDC から生成されたチケットが処理されるようになりました。
以前は、Kerberos バージョン 1.20 以降を実行しているキー配布センター (KDC) とバージョン 1.18.2 以前を実行している KDC の間で互換性の問題が発生していました。その結果、Kerberos 1.20 以降を実行している KDC によって発行された証拠チケットが Kerberos 1.18.2 以前を実行している KDC に送信されると、古い KDC は AD-SIGNTICKET
属性をサポートしていなかったため、チケット交付サービス要求を拒否しました。
この更新により、特権属性証明書 (PAC) が存在する場合に AD-SIGNTICKET
が不要になったため、KDC の以前のバージョンは、Kerberos 1.20 以降を実行している KDC によって生成された証拠チケットを受け入れるようになりました。
dirsrv
ファイルの SELinux ラベル付けが DEBUG
ログレベルに移動する
以前は、dirsrv
ファイルの SELinux ラベル付けには INFO
ログレベルがありました。この更新では、以前のバージョンと同じように、dirsrv
ファイルに DEBUG
ログレベルが使用されます。
バックエンドが関連する接尾辞なしで設定されている場合に、Directory Server がセグメンテーション違反を引き起こさなくなる
以前は、バックエンドが関連する接尾辞なしで設定されている場合、Directory Server の起動時にセグメンテーションエラーが発生していました。この更新により、Directory Server は接尾辞にアクセスする前に、接尾辞がバックエンドに関連付けられているかどうかを確認します。その結果、セグメンテーション違反が発生しなくなります。
ページ結果検索を中止した後に Directory Server が失敗しなくなりました
以前は、競合状態が、ページ化された結果の検索を中止する際にヒープ破損と Directory Server 障害の原因となっていました。この更新により、競合状態が修正され、Directory Server 障害は発生しなくなりました。
接続テーブルのサイズにカスタム値を設定した場合は、アップグレード後に Directory Server が正しく起動するようになる
以前は、接続テーブルサイズにカスタム値を設定し、nsslapd-conntablesize
属性が dse.ldif
ファイルに存在する場合は、アップグレード後に Directory Server が起動しませんでした。このリリースでは、dse.ldif
ファイルに nsslapd-conntablesize
が存在する状態でアップグレード後、Directory Server が正しく起動します。
コンテンツ同期プラグインが動的に有効化されても Directory Server が失敗しなくなりました。
以前は、コンテンツ同期プラグインが動的に有効になっている場合は、操作前コールバックが登録されていないため、操作後プラグインコールバックでセグメンテーションエラーが発生していました。この更新により、操作後のプラグインコールバックによってメモリーが初期化されているかどうかが確認され、Directory Server に障害が発生しなくなりました。