8.12. Identity Management
通常のユーザーによるページ検索はパフォーマンスに影響を与えなくなる
以前は、Directory Server に検索負荷がかかっている場合、ロックがネットワークイベントをポーリングするスレッドと競合するため、通常のユーザーからのページ検索がサーバーのパフォーマンスに影響を与える可能性がありました。さらに、ページ検索の送信中にネットワークの問題が発生した場合、nsslapd-iotimeout パラメーターの期限が切れるまでサーバー全体が応答しなくなっていました。今回の更新では、ネットワークイベントとの競合を避けるために、ロックがいくつかの部分に分割されました。その結果、一般ユーザーからのページ検索中のパフォーマンスへの影響はありません。
スキーマのレプリケーションが Directory Server で正しく機能するようになる
以前は、Directory Server がスキーマを新しいサーバーに複製するときに、すべてのスキーマがリモートレプリカ上の 99user.ldif ファイルに追加されました。X-ORIGIN キーワードがすべての定義で user defined に設定されているため、すべてカスタムスキーマであるように見えました。その結果、Web コンソールに問題が発生する可能性があり、スキーマを監視し、X-ORIGIN キーワードに特定の値が含まれることを期待するお客様にも問題が発生する可能性がありました。この更新により、スキーマのレプリケーションが期待どおりに機能するようになりました。
Directory Server で referral モードが正しく動作するようになる
以前は、CLI は nsslapd-referral 設定属性をマッピングツリーではなくバックエンドに設定していました。その結果、referral モードは機能しませんでした。この更新により、nsslapd-referral 属性が正しく設定され、referral モードが期待どおりに機能するようになりました。
LMDB インポートがより高速に動作するようになる
以前は、entryrdn インデックスを構築するために、LMDB インポートワーカースレッドは、親エントリーが確実に処理されるように他のワーカースレッドを待機していました。これによりロック競合が発生し、インポートが大幅に遅くなりました。今回の更新により、LMDB データベースを介した LDIF インポートが再設計され、プロバイダースレッドは、エントリー RDN とその親に関するデータを、ワーカースレッドが entryrdn インデックスの構築に使用する一時データベースに保存します。その結果、ワーカースレッドの同期が必要なくなり、平均インポート速度が向上しました。
LMDB は同時書き込みトランザクションをサポートしていないため、LMDB インポートのインポート速度は依然として BDB インポートより 3 倍遅いことに注意してください。
再起動後に dirsrv サービスが正しく開始されるようになる
以前は、dirsrv サービスが systemd-tmpfiles-setup.service の終了を明示的に待機しなかったため、再起動後に dirsrv サービスの起動に失敗することがありました。これにより競合状態が発生しました。今回の更新により、dirsrv サービスは systemd-tmpfiles-setup.service が完了するまで待機し、再起動後に起動に失敗することがなくなりました。
セキュリティーパラメーターの変更が正しく機能するようになる
以前は、dsconf instance_name security set コマンドを使用してセキュリティーパラメーターを変更すると、次のエラーが発生して操作が失敗していました。
Name 'log' is not defined
この更新により、セキュリティーパラメーターの変更が期待どおりに機能するようになりました。
SSSD が GPO ベースのアクセス制御を評価するときに sAMAccountName を使用するようになる
以前は、AD クライアントで ldap_user_name が sAMAccountName 以外の値に設定されている場合、GPO ベースのアクセス制御が失敗しました。今回の更新により、SSSD が GPO ベースのアクセス制御を評価するときに常に sAMAccountName を使用するようになりました。ldap_user_name が AD クライアントの sAMAccountName とは異なる値に設定されている場合でも、GPO ベースのアクセス制御が正しく機能するようになりました。
SSSD は、ユーザーを取得するときに user_attributes オプションで重複した属性を処理するようになる
以前は、sssd.conf が user_attributes オプションに重複した属性を含んでいた場合、SSSD はこれらの重複を正しく処理しませんでした。その結果、それらの属性を持つユーザーを取得できませんでした。この更新により、SSSD は重複を正しく処理できるようになりました。その結果、重複した属性を持つユーザーを取得できるようになりました。
動的 Kerberos PAC チケット署名強制メカニズムにより、IdM でのバージョン間の非互換性が修正される
以前は、Identity Management (IdM) デプロイメントのサーバーが RHEL 9 と RHEL 8 の両方で実行されている場合、特権属性証明書 (PAC) チケット署名サポートのアップストリーム実装によって生じる非互換性により、特定の操作が失敗していました。今回の更新では、RHEL 9 に動的チケット署名強制メカニズムの機能が実装され、このバージョン間の非互換性が修正されました。この機能を実際に有効にするには、以下を行う必要があります。
- ドメイン内のすべてのサーバーを更新します。
- すべての IdM Kerberos Distribution Center (KDC) サービスを再起動します。
これら 2 つの操作の順序は重要です。KDC は起動時に、ドメイン内の他のすべてのサーバーのメタデータに対してクエリーを実行し、それらのサーバーがすべて PAC チケット署名をサポートしているかどうかを確認します。サポートしていない場合、署名は強制されません。
制約付き委任リクエストの例など、動的な Kerberos PAC チケット署名強制メカニズムの詳細は、こちらの ナレッジベースの記事 を参照してください。
Jira:RHELDOCS-17011[1], Bugzilla:2182683, Bugzilla:2178298
IdM admin ユーザーの削除が許可されなくなる
以前は、admin グループのメンバーであれば、Identity Management (IdM) の admin ユーザーを削除できました。admin ユーザーが存在しないと、IdM と Active Directory (AD) の間の信頼が正しく機能しません。この更新により、admin ユーザーを削除できなくなりました。結果として、IdM-AD 信頼は正しく機能します。
ipa-kdb に起因する krb5kdc の障害が発生しなくなる
以前は、ipa-kdb ドライバーはサーバーホストオブジェクトの欠如と接続の失敗を区別していませんでした。その結果、LDAP サーバーとの接続の問題によって生成された NULL LDAP コンテキストが原因で、krb5kdc サーバーが予期せず停止することがありました。
今回の更新により、ipa-kdb ドライバーは接続の失敗を正しく識別し、接続の失敗とサーバーホストオブジェクトの欠如を区別できるようになりました。その結果、krb5kdc サーバーで障害が発生しなくなりました。
IdM クライアントインストーラーは、ldap.conf ファイルで TLS CA 設定を指定しなくなる
以前は、IdM クライアントインストーラーは ldap.conf ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf ファイルに TLS CA 設定をセットアップしません。
IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する
以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。
RHBA-2023:4359 のリリースにより、大文字と小文字を区別する比較は、大文字と小文字を区別しない比較に置き換えられました。その結果、IdM クライアントは、ユーザー名に大文字と小文字が混在しており、IdM でオーバーライドが設定されている場合でも、AD の信頼済みドメインのユーザーを検索できるようになりました。
Jira:SSSD-6096
