8.12. Identity Management
デフォルトで/var/log/messages に記録されなくなったデバッグメッセージ
以前は、ipa-dnskeysyncd および ipa-ods-exporter デーモンがデフォルトですべてのデバッグメッセージを /var/log/messages に記録していたため、ログファイルが大幅に増大していました。必要に応じて、/etc/ipa/dns.conf ファイルで debug=True を設定することにより、デバッグログレベルを設定できるようになりました。詳細は、default.conf(5) の man ページを参照してください。
ユーザーアカウントの保持
以前は、ipa user-del --preserve user_login コマンドを実行してユーザーアカウントを保存すると、出力に Deleted user "user_login" というメッセージが誤って返されていました。このメッセージは、ユーザーが削除され、期待どおりに保持されていないことを誤って示しています。今回の更新で、出力は Preserved user “user_login” を返すようになりました。
4 GB を超える Kerberos データベースの転送
以前は、kprop サービスと kpropd コマンドは、Kerberos KDC データベースのサイズを格納するときに 32 ビット値を使用していました。その結果、データベースサイズが 4 GB を超えると、プライマリー Kerberos サーバーからレプリカサーバーへの Kerberos データベースダンプファイルの転送が失敗しました。
今回の更新で Kerberos が変更され、4 GB を超える KDC データベースを転送できるようになりました。
(BZ#2026462)
LDAP グループのメンバーリスト内の読み取り不能オブジェクトの処理
この更新の前は、SSSD が LDAP グループのメンバーリスト内の読み取り不能オブジェクトを一貫して処理していなかったため、読み取り不能オブジェクトが原因でエラーが発生したり、特定の状況で読み取り不能オブジェクトが無視されたりしていました。
今回の更新により、SSSD には、この動作を変更するための新しいオプション ldap_ignore_unreadable_references が追加されました。ldap_ignore_unreadable_references オプションが false に設定されている場合には、読み取り不能オブジェクトによってエラーが発生し、true に設定されている場合、読み取り不能オブジェクトは無視されます。デフォルトは false に設定されており、元の一貫性のない動作のために、更新後に一部のグループルックアップが失敗する場合があります。この場合、/etc/sssd/sssd.conf ファイルの対応する [domain/name of the domain] セクションで ldap_ignore_unreadable_references = True と指定します。
これにより、読み取り不能オブジェクトを一貫した方法で処理でき、新しい ldap_ignore_unreadable_references オプションを使用して動作を調整できます。
(BZ#2069379)
