8.12. Identity Management

通常のユーザーによるページ検索はパフォーマンスに影響を与えなくなる

以前は、Directory Server に検索負荷がかかっている場合、ロックがネットワークイベントをポーリングするスレッドと競合するため、通常のユーザーからのページ検索がサーバーのパフォーマンスに影響を与える可能性がありました。さらに、ページ検索の送信中にネットワークの問題が発生した場合、nsslapd-iotimeout パラメーターの期限が切れるまでサーバー全体が応答しなくなっていました。今回の更新では、ネットワークイベントとの競合を避けるために、ロックがいくつかの部分に分割されました。その結果、一般ユーザーからのページ検索中のパフォーマンスへの影響はありません。

スキーマのレプリケーションが Directory Server で正しく機能するようになる

以前は、Directory Server がスキーマを新しいサーバーに複製するときに、すべてのスキーマがリモートレプリカ上の 99user.ldif ファイルに追加されました。X-ORIGIN キーワードがすべての定義で user defined に設定されているため、すべてカスタムスキーマであるように見えました。その結果、Web コンソールに問題が発生する可能性があり、スキーマを監視し、X-ORIGIN キーワードに特定の値が含まれることを期待するお客様にも問題が発生する可能性がありました。この更新により、スキーマのレプリケーションが期待どおりに機能するようになりました。

Directory Server で referral モードが正しく動作するようになる

以前は、CLI は nsslapd-referral 設定属性をマッピングツリーではなくバックエンドに設定していました。その結果、referral モードは機能しませんでした。この更新により、nsslapd-referral 属性が正しく設定され、referral モードが期待どおりに機能するようになりました。

LMDB インポートがより高速に動作するようになる

以前は、entryrdn インデックスを構築するために、LMDB インポートワーカースレッドは、親エントリーが確実に処理されるように他のワーカースレッドを待機していました。これによりロック競合が発生し、インポートが大幅に遅くなりました。今回の更新により、LMDB データベースを介した LDIF インポートが再設計され、プロバイダースレッドは、エントリー RDN とその親に関するデータを、ワーカースレッドが entryrdn インデックスの構築に使用する一時データベースに保存します。その結果、ワーカースレッドの同期が必要なくなり、平均インポート速度が向上しました。

再起動後に dirsrv サービスが正しく開始されるようになる

以前は、dirsrv サービスが systemd-tmpfiles-setup.service の終了を明示的に待機しなかったため、再起動後に dirsrv サービスの起動に失敗することがありました。これにより競合状態が発生しました。今回の更新により、dirsrv サービスは systemd-tmpfiles-setup.service が完了するまで待機し、再起動後に起動に失敗することがなくなりました。

セキュリティーパラメーターの変更が正しく機能するようになる

以前は、dsconf instance_name security set コマンドを使用してセキュリティーパラメーターを変更すると、次のエラーが発生して操作が失敗していました。

SSSD が GPO ベースのアクセス制御を評価するときに sAMAccountName を使用するようになる

以前は、AD クライアントで ldap_user_name が sAMAccountName 以外の値に設定されている場合、GPO ベースのアクセス制御が失敗しました。今回の更新により、SSSD が GPO ベースのアクセス制御を評価するときに常に sAMAccountName を使用するようになりました。ldap_user_name が AD クライアントの sAMAccountName とは異なる値に設定されている場合でも、GPO ベースのアクセス制御が正しく機能するようになりました。

SSSD は、ユーザーを取得するときに user_attributes オプションで重複した属性を処理するようになる

以前は、sssd.conf が user_attributes オプションに重複した属性を含んでいた場合、SSSD はこれらの重複を正しく処理しませんでした。その結果、それらの属性を持つユーザーを取得できませんでした。この更新により、SSSD は重複を正しく処理できるようになりました。その結果、重複した属性を持つユーザーを取得できるようになりました。

動的 Kerberos PAC チケット署名強制メカニズムにより、IdM でのバージョン間の非互換性が修正される

以前は、Identity Management (IdM) デプロイメントのサーバーが RHEL 9 と RHEL 8 の両方で実行されている場合、特権属性証明書 (PAC) チケット署名サポートのアップストリーム実装によって生じる非互換性により、特定の操作が失敗していました。今回の更新では、RHEL 9 に動的チケット署名強制メカニズムの機能が実装され、このバージョン間の非互換性が修正されました。この機能を実際に有効にするには、以下を行う必要があります。

SHA-1 署名検証が FIPS モードで許可されるようになる

以前は、Identity Management (IdM) が FIPS モードの場合、SHA-1 署名検証の使用を許可できませんでした。これは、IdM が、SHA-1 署名を許可しない FIPS-140-3 標準を使用しているためです。この状況により、Active Directory (AD) の相互運用性に問題が発生していました。AD は古い FIPS-140-2 標準にのみ準拠しており、SHA-1 署名を必要とするためです。

IdM admin ユーザーの削除が許可されなくなる

以前は、admin グループのメンバーであれば、Identity Management (IdM) の admin ユーザーを削除できました。admin ユーザーが存在しないと、IdM と Active Directory (AD) の間の信頼が正しく機能しません。この更新により、admin ユーザーを削除できなくなりました。結果として、IdM-AD 信頼は正しく機能します。

ipa-kdb に起因する krb5kdc の障害が発生しなくなる

以前は、ipa-kdb ドライバーはサーバーホストオブジェクトの欠如と接続の失敗を区別していませんでした。その結果、LDAP サーバーとの接続の問題によって生成された NULL LDAP コンテキストが原因で、krb5kdc サーバーが予期せず停止することがありました。

IdM クライアントインストーラーは、ldap.conf ファイルで TLS CA 設定を指定しなくなる

以前は、IdM クライアントインストーラーは ldap.conf ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf ファイルに TLS CA 設定をセットアップしません。

IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する

以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。