8.10. Identity Management


SSSD が GPO ベースのアクセス制御を評価するときに sAMAccountName を使用するようになる

以前は、AD クライアントで ldap_user_namesAMAccountName 以外の値に設定されている場合、GPO ベースのアクセス制御が失敗しました。今回の更新により、SSSD が GPO ベースのアクセス制御を評価するときに常に sAMAccountName を使用するようになりました。ldap_user_name が AD クライアントの sAMAccountName とは異なる値に設定されている場合でも、GPO ベースのアクセス制御が正しく機能するようになりました。

Jira:SSSD-6107

SSSD は、ユーザーを取得するときに user_attributes オプションで重複した属性を処理するようになる

以前は、sssd.confuser_attributes オプションに重複した属性を含んでいた場合、SSSD はこれらの重複を正しく処理しませんでした。その結果、それらの属性を持つユーザーを取得できませんでした。この更新により、SSSD は重複を正しく処理できるようになりました。その結果、重複した属性を持つユーザーを取得できるようになりました。

Jira:SSSD-6177

セキュリティーパラメーターの変更が正しく機能するようになる

以前は、dsconf instance_name security set コマンドを使用してセキュリティーパラメーターを変更すると、次のエラーが発生して操作が失敗していました。

Name 'log' is not defined

この更新により、セキュリティーパラメーターの変更が期待どおりに機能するようになりました。

Bugzilla:2166284

Directory Server が、開いている記述子の最大数に基づいて dtablesize を計算するようになりました。

以前は、管理者は nsslapd-conntablesize 設定パラメーターを使用して、接続テーブルのサイズを手動で設定できました。そのため、接続テーブルのサイズ設定が小さすぎると、サーバーがサポートできる接続数に影響が及んでいました。今回の更新により、Directory Server が接続テーブルのサイズを動的に計算するようになり、接続テーブルのサイズが小さすぎる問題を効果的に解決できるようになりました。さらに、接続テーブルのサイズを手動で変更する必要がなくなりました。

Bugzilla:2210491

dsctl healthcheck コマンドがデフォルトでパスワード保存スキーム PBKDF2-SHA512 を使用するようになりました。

以前は、dsctl healthcheck コマンドはデフォルトで SSHA512 パスワード保存スキームを使用していました。その結果、新しいパスワード保存スキーム PBKDF2-SHA512 が検出されなかったため、このコマンドは警告を報告していました。今回の更新により、dsctl healthcheck コマンドがデフォルトで PBKDF2-SHA512 パスワード保存スキームを使用するようになり、警告が発生しなくなりました。

Bugzilla:2220890

通常のユーザーによるページ検索はパフォーマンスに影響を与えなくなる

以前は、Directory Server に検索負荷がかかっている場合、ロックがネットワークイベントをポーリングするスレッドと競合するため、通常のユーザーからのページ検索がサーバーのパフォーマンスに影響を与える可能性がありました。さらに、ページ検索の送信中にネットワークの問題が発生した場合、nsslapd-iotimeout パラメーターの期限が切れるまでサーバー全体が応答しなくなっていました。今回の更新では、ネットワークイベントとの競合を避けるために、ロックがいくつかの部分に分割されました。その結果、一般ユーザーからのページ検索中のパフォーマンスへの影響はありません。

Bugzilla:2224505

Directory Server で暗号を期待どおりに有効または無効にできるようになりました。

以前は、Web コンソールを使用してデフォルトの暗号に加えて特定の暗号を有効または無効にしようとすると、サーバーが特定の暗号のみを有効または無効にし、次のようなエラーをログに記録していました。

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+cipher_name>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

現在、ネットワークセキュリティーサービス (NSS) は、デフォルトの暗号と特定の暗号を同時に処理することをサポートしていません。そのため、Directory Server は特定の暗号またはデフォルトの暗号を有効または無効にすることができます。今回の更新により、デフォルトの暗号を設定すると、Web コンソールで Allow Specific Ciphers フィールドと Deny Specific Ciphers フィールドがクリアされることを示すメッセージが表示されるようになりました。

Bugzilla:1817505

IdM admin ユーザーの削除が許可されなくなる

以前は、admin グループのメンバーであれば、Identity Management (IdM) の admin ユーザーを削除できました。admin ユーザーが存在しないと、IdM と Active Directory (AD) の間の信頼が正しく機能しません。この更新により、admin ユーザーを削除できなくなりました。結果として、IdM-AD 信頼は正しく機能します。

Bugzilla:1821181

IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する

以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。

RHBA-2023:4525 のリリースにより、大文字と小文字を区別する比較は、大文字と小文字を区別しない比較に置き換えられました。その結果、IdM クライアントは、ユーザー名に大文字と小文字が混在しており、IdM でオーバーライドが設定されている場合でも、AD の信頼済みドメインのユーザーを検索できるようになりました。

Jira:SSSD-6096

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.