6.11. Identity Management
ipa-replica-manage コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew 設定をリセットしなくなる
以前は、設定された値に関係なく、ipa-replica-manage force-sync コマンドは、nsslapd-ignore-time-skew 設定を off にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew 設定が上書きされなくなりました。
Jira:RHEL-52300[1]
ipa idrange-add コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる
以前は、ipa idrange-add コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。
Jira:RHELDOCS-18201[1]
certmonger が、非表示のレプリカ上の KDC 証明書を正しく更新するようになる
以前は、証明書の有効期限が近づいたときに、certmonger が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。
Jira:RHEL-39477[1]
AD 管理者が IdM レプリカをデプロイできるようになる
以前は、RHEL Identity Management (IdM) レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックは、ユーザー ID オーバーライドのチェックまで拡張されませんでした。その結果、必要な権限で ID オーバーライドがある AD 管理者の認証情報を使用してレプリカをデプロイしようとすると、レプリカ接続チェックが失敗しました。
この更新により、必要な権限を持つプリンシパルの ID オーバーライドがあるかどうかのチェックが追加されました。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになりました。
この修正は ansible-freeipa にも適用されることに注意してください。
ローカルユーザーキャッシュ用の shadow-utils と sss_cache のインテグレーションが無効化されている
RHEL 9 では、/etc/shadow などのローカルファイルからユーザー情報を取得し、/etc/groups からグループ情報を取得する SSSD 暗黙的 files プロバイダードメインがデフォルトで無効になっていました。ただし、shadow-utils のインテグレーションは完全に無効化されていなかったため、ローカルユーザーを追加または削除するときに sss_cache が呼び出されました。不要なキャッシュ更新により、一部のユーザーにパフォーマンスの問題が発生しました。この更新により、shadow-utils と sss_cache のインテグレーションが完全に無効化され、不要なキャッシュの更新が原因のパフォーマンスの問題が発生しなくなりました。
Jira:RHEL-56352, Jira:RHELPLAN-100639
Directory Server は nsslapd-idletimeout を無視しなくなる
以前は、Directory Manager 以外のユーザーによって接続が開かれた場合、Directory Server は nsslapd-idletimeout 値を無視することができ、指定された時間が経過しても接続を閉じませんでした。この更新により、Directory Server は設定されたアイドル時間に達すると期待どおりに接続を閉じるようになります。
Jira:RHEL-17511[1]
検索操作で大規模なグループがより速く返されるようになる
以前は、大規模な静的グループの検索で、uniquemember 属性を持つ 等価性 一致コンポーネントを含むフィルター (例: '(uniquemember=uid=foo,ou=people,<suffix>)') を使用すると、検索が遅くなり、CPU を大量に消費していました。この更新により、検索フィルターの評価中に、Directory Server はメンバー識別名 (DN) がソートされる内部構造を使用するようになり、大規模なグループの検索が高速化され、CPU の負荷が軽減されます。
Jira:RHEL-49454[1]
1 レベルスコープ検索がサブサフィックスを返さない問題が解消される
以前は、-s オプションを one に設定して ldapsearch コマンドを実行すると、検索結果に -b オプションで指定されたエントリーのサブサフィックスが含まれていませんでした。この更新により、1 レベルスコープ検索は、エントリー直下の子エントリーを正常に返すようになりました。
Referential Integrity プラグインがサーバー障害を引き起こさなくなる
以前は、遅延チェックで Referential Integrity プラグインを使用すると、チェックを処理したスレッドがシャットダウン時に解放されたデータ構造にアクセスし、サーバー障害が発生する可能性がありました。この更新により、プラグインは、遅延チェックスレッドが停止し、障害が発生しなくなるまでデータ構造を解放しなくなりました。
dscreate ds-root コマンドは相対パスを受け入れるようになる
以前は、非 root ユーザーとしてインスタンスを作成し、相対パスを含む bin_dir 引数値を指定すると、相対パスが defaults.inf ファイルに書き込まれ、インスタンスの作成に失敗していました。この更新により、bin_dir 引数値として相対パスを指定すると、インスタンスが正常に作成されるようになりました。
LDIF ファイルのオフラインインポートが正しく実行されるようになる
以前は、オフラインインポートの前にキャッシュの自動チューニング操作はトリガーされませんでした。その結果、ldif2db スクリプトでインポート操作を実行すると、速度が低下しました。この更新により、Directory Server は ldif2db 操作の前にキャッシュの自動チューニングをトリガーし、インポートパフォーマンスが向上します。
dsconf schema matchingrules list コマンドは、新しい inchainMatch マッチングルールを表示するようになりました。
以前は、inchainMatch がマッチング構文なしで登録されていたため、dsconf ユーティリティーは、サポートされている inchainMatch マッチングルールをマッチングルールのリストに表示しませんでした。この更新により、inchainMatch の構文が定義され、dsconf schema matchingrules list コマンドを実行すると、inchainMatch がリストに表示されます。
IdM クライアントインストーラーは、ldap.conf ファイルで TLS CA 設定を指定しなくなる
以前は、IdM クライアントインストーラーは ldap.conf ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf ファイルに TLS CA 設定をセットアップしません。
