6.9. Identity Management

Automembership プラグインがデフォルトでグループをクリーンアップしなくなる

以前は、自動メンバー再構築タスクは最初にすべてのメンバーシップ値を削除し、次にメンバーシップを最初から再構築していました。その結果、特に他の be_txn プラグインが有効になっている場合は、再構築タスクのコストが高くなりました。

割り当てられたメモリーが操作完了後に解放されるようになりました

以前は、各操作に対して KCM によって割り当てられたメモリーは、接続が閉じるまで解放されませんでした。その結果、接続を開いて同じ接続で多くの操作を実行するクライアントアプリケーションでは、接続が閉じるまで割り当てられたメモリーが解放されないため、メモリーが著しく増加しました。この更新により、操作に割り当てられたメモリーは、操作が完了するとすぐに解放されるようになりました。

IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する

以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。

SSSD は、パスワード変更時に猶予ログインが残っていない場合にエラーを正しく返します

以前は、ユーザーの LDAP パスワードの有効期限が切れた場合、猶予ログインが残っていないためにユーザーの最初のバインドが失敗した後でも、SSSD はパスワードの変更を試みていました。しかし、ユーザーに返されたエラーには失敗の理由が示されていませんでした。この更新により、バインドが失敗した場合、パスワード変更要求は中断されるようになりました。SSSD は、猶予ログインが残っていないため、別の方法でパスワードを変更する必要があることを示すエラーメッセージを返します。

realm leave コマンドを使用したドメインからのシステム削除

以前は、sssd.conf ファイルの ad_server オプションに複数の名前が設定されている場合、realm leave コマンドを実行すると解析エラーが発生し、システムがドメインから削除されませんでした。この更新により、ad_server オプションが適切に評価されるようになり、正しいドメインコントローラー名が使用され、システムがドメインから適切に削除されるようになりました。

KCM は正しい sssd.kcm.log ファイルにログを記録します

以前、logrotate は Kerberos Credential Manager (KCM) ログファイルを正しくローテーションしていましたが、KCM はログを誤って古いログファイル sssd_kcm.log.1 に書き込んでいました。KCM を再起動した場合、正しいログファイルが使用されました。この更新により、logrotate が呼び出されるとログファイルがローテーションされ、KCM は sssd_kcm.log ファイルに正しくログを記録するようになりました。

realm leave --remove コマンドが認証情報を要求しなくなる

以前は、realm ユーティリティーは、realm leave 操作を実行するときに、有効な Kerberos チケットが利用可能かどうかを正しく確認していませんでした。その結果、有効な Kerberos チケットが利用可能であったにもかかわらず、ユーザーはパスワードの入力を求められました。この更新により、realm は有効な Kerberos チケットがあるかどうかを正しく検証するようになり、realm leave --remove コマンドを実行するときにユーザーにパスワードの入力を要求しなくなりました。

FIPS モードで IdM Vault 暗号化および復号化に失敗しなくなりました

以前は、IdM Vault は、デフォルトのパディングラッピングアルゴリズムとして OpenSSL RSA-PKCS1v15 を使用していました。しかし、RHEL の FIPS 認定モジュールはいずれも FIPS で承認されたアルゴリズムとして PKCS#1 v1.5 をサポートしていなかったため、IdM Vault は FIPS モードで失敗していました。この更新により、IdM Vault は、RSA-OAEP パディングラッピングアルゴリズムをフォールバックとしてサポートするようになりました。その結果、IdM Vault の暗号化と復号化が FIPS モードで正しく動作するようになりました。

非 CA IdM レプリカのインストールは、サーバーアフィニティーが設定されている場合に失敗しなくなる

一部のシナリオでは、証明機関 (CA) なしで IdM レプリカをインストールすると、CA_REJECTED エラーが発生して失敗しました。この障害は、certmonger サービスが証明書を取得しようとしたために発生し、複雑なトポロジーに新しいレプリカを追加したときにレプリケーションの詳細が不完全になりました。

Kerberos キー配布センターバージョン 1.20 以降では、バージョン 1.18.2 以前を実行している KDC から生成されたチケットが処理されるようになりました。

以前は、Kerberos バージョン 1.20 以降を実行しているキー配布センター (KDC) とバージョン 1.18.2 以前を実行している KDC の間で互換性の問題が発生していました。その結果、Kerberos 1.20 以降を実行している KDC によって発行された証拠チケットが Kerberos 1.18.2 以前を実行している KDC に送信されると、古い KDC は AD-SIGNTICKET 属性をサポートしていなかったため、チケット交付サービス要求を拒否しました。

dirsrv ファイルの SELinux ラベル付けが DEBUG ログレベルに移動する

以前は、dirsrv ファイルの SELinux ラベル付けには INFO ログレベルがありました。この更新では、以前のバージョンと同じように、dirsrv ファイルに DEBUG ログレベルが使用されます。

バックエンドが関連する接尾辞なしで設定されている場合に、Directory Server がセグメンテーション違反を引き起こさなくなる

以前は、バックエンドが関連する接尾辞なしで設定されている場合、Directory Server の起動時にセグメンテーションエラーが発生していました。この更新により、Directory Server は接尾辞にアクセスする前に、接尾辞がバックエンドに関連付けられているかどうかを確認します。その結果、セグメンテーション違反が発生しなくなります。

ページ結果検索を中止した後に Directory Server が失敗しなくなりました

以前は、競合状態が、ページ化された結果の検索を中止する際にヒープ破損と Directory Server 障害の原因となっていました。この更新により、競合状態が修正され、Directory Server 障害は発生しなくなりました。

接続テーブルのサイズにカスタム値を設定した場合は、アップグレード後に Directory Server が正しく起動するようになる

以前は、接続テーブルサイズにカスタム値を設定し、nsslapd-conntablesize 属性が dse.ldif ファイルに存在する場合は、アップグレード後に Directory Server が起動しませんでした。このリリースでは、dse.ldif ファイルに nsslapd-conntablesize が存在する状態でアップグレード後、Directory Server が正しく起動します。

コンテンツ同期プラグインが動的に有効化されても Directory Server が失敗しなくなりました。

以前は、コンテンツ同期プラグインが動的に有効になっている場合は、操作前コールバックが登録されていないため、操作後プラグインコールバックでセグメンテーションエラーが発生していました。この更新により、操作後のプラグインコールバックによってメモリーが初期化されているかどうかが確認され、Directory Server に障害が発生しなくなりました。