8.13. Identity Management
ipa user-del --preserve user_login 出力に、ユーザーの削除は示されなくなりました
以前は、ipa user-del --preserve user_login コマンドを実行してユーザーアカウントを保存すると、出力に Deleted user "user_login" というメッセージが誤って返されていました。今回の更新で、出力は Preserved user “user_login” を返すようになりました。
RHEL 9 Kerberos クライアント (Heimdal KDC シナリオ) で PKINIT ユーザー認証が正しく動作するようになりました
以前は、Heimdal Kerberos Distribution Center (KDC) に対する RHEL 9 Kerberos クライアントでの IdM ユーザーの PKINIT 認証に失敗していました。この失敗は、Kerberos クライアントが RHEL 9 の SHA-1 アルゴリズムの非推奨コンテキストで必要な supportedCMSTypes フィールドに対応していなかったために発生しました。
今回の更新で、RHEL 9 Kerberos クライアントは PKINIT 中に、sha512WithRSAEncryption および sha256WithRSAEncryption を含む署名アルゴリズムのリストを supportedCMSTypes として Heimdal KDC に送信します。Heimdal KDC は sha512WithRSAEncryption を使用するため、PKINIT 認証が正しく機能します。
LDAP グループのメンバーリスト内の読み取り不能オブジェクトの処理
この更新の前は、SSSD が LDAP グループのメンバーリスト内の読み取り不能オブジェクトを一貫して処理していなかったため、読み取り不能オブジェクトが原因でエラーが発生したり、特定の状況で読み取り不能オブジェクトが無視されたりしていました。
今回の更新により、SSSD には、この動作を変更するための新しいオプション ldap_ignore_unreadable_references が追加されました。ldap_ignore_unreadable_references オプションが false に設定されている場合には、読み取り不能オブジェクトによってエラーが発生し、true に設定されている場合、読み取り不能オブジェクトは無視されます。デフォルトは false に設定されており、元の一貫性のない動作のために、更新後に一部のグループルックアップが失敗する場合があります。この場合、/etc/sssd/sssd.conf ファイルの対応する [domain/name of the domain] セクションで ldap_ignore_unreadable_references = True と指定します。
これにより、読み取り不能オブジェクトを一貫した方法で処理でき、新しい ldap_ignore_unreadable_references オプションを使用して動作を調整できます。
