6.11. Identity Management
ipa-replica-manage
コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew
設定をリセットしなくなりました。
以前は、設定された値に関係なく、ipa-replica-manage
force-sync
コマンドは nsslapd-ignore-time-skew
設定を off
にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew
設定が上書きされなくなりました。
Jira:RHEL-52300[1]
ipa idrange-add
コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる
以前は、ipa idrange-add
コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。
Jira:RHELDOCS-18201[1]
certmonger
が、非表示のレプリカ上の KDC 証明書を正しく更新するようになりました。
以前は、証明書の有効期限が近づいたときに、certmonger
が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger
がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。
Jira:RHEL-39477[1]
AD 管理者は IdM レプリカを展開できるようになりました
以前は、RHEL Identity Management (IdM) レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックは、ユーザー ID オーバーライドのチェックまで拡張されませんでした。その結果、必要な権限を持つ ID オーバーライドを持つ AD 管理者の認証情報を使用してレプリカを展開しようとしたときに、レプリカ接続チェックが失敗しました。
この更新では、必要な権限を持つプリンシパルの ID オーバーライドがあるかどうかのチェックが追加されました。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになりました。
この修正は ansible-freeipa
にも適用されることに注意してください。
ローカルユーザーキャッシュ用の shadow-utils
と sss_cache
の統合が無効になっています
/etc/shadow
などのローカルファイルからユーザー情報を取得し、/etc/groups
からのグループ情報をグループ化する SSSD 暗黙的 files
プロバイダードメインが、デフォルトで無効になりました。ただし、shadow-utils
の統合は完全に無効化されていなかったため、ローカルユーザーを追加または削除するときに sss_cache
が呼び出されました。不要なキャッシュ更新により、一部のユーザーにパフォーマンスの問題が発生しました。この更新により、shadow-utils
と sss_cache
の統合が完全に無効化され、不要なキャッシュ更新によって発生するパフォーマンスの問題が発生しなくなりました。
Jira:RHEL-56352, Jira:RHELPLAN-100639
Directory Server は nsslapd-idletimeout
を無視しなくなりました
以前は、Directory Manager 以外のユーザーによって接続が開かれた場合、Directory Server は nsslapd-idletimeout
値を無視し、指定された時間が経過しても接続を閉じませんでした。この更新により、Directory Server は設定されたアイドル時間に達すると期待どおりに接続を閉じるようになります。
Jira:RHEL-17511[1]
検索操作で大規模なグループがより速く返されるようになりました
以前は、大規模な静的グループの検索で、uniquemember
属性を持つ 等価 一致コンポーネントを含むフィルター (例: '(uniquemember=uid=foo,ou=people,<suffix>)')
を使用すると、検索が遅くなり、CPU を大量に消費していました。この更新により、検索フィルターの評価中に、Directory Server はメンバー識別名 (DN) がソートされる内部構造を使用するようになり、大規模なグループの検索が高速化され、CPU の負荷が軽減されます。
Jira:RHEL-49454[1]
1 レベルのスコープ検索でサブ接尾辞が返されなくなりました。
以前は、-s
オプションを 1
に設定して ldapsearch
コマンドを実行すると、検索結果に -b
オプションで指定されたエントリーのサブ接尾辞が含まれていませんでした。この更新により、1 レベルのスコープ検索でエントリーの直下の子エントリーが正常に返されるようになりました。
参照整合性プラグインがサーバー障害を引き起こさなくなりました
以前は、遅延チェックで参照整合性プラグインを使用すると、チェックを処理したスレッドがシャットダウン時に解放されたデータ構造にアクセスし、サーバー障害が発生する可能性がありました。この更新により、プラグインは、遅延チェックスレッドが停止し、障害が発生しなくなるまでデータ構造を解放しなくなりました。
dscreate ds-root
コマンドは相対パスを受け入れるようになりました
以前は、非ルートユーザーとしてインスタンスを作成し、相対パスを含む bin_dir
引数値を指定しようとした場合、相対パスが defaults.inf
ファイルに書き込まれ、インスタンスの作成に失敗していました。この更新により、bin_dir
引数値として相対パスを指定すると、インスタンスが正常に作成されるようになりました。
LDIF ファイルのオフラインインポートが正しく実行されるようになりました
以前は、オフラインインポートの前にキャッシュの自動調整操作はトリガーされませんでした。その結果、ldif2db
スクリプトでインポート操作を実行すると、速度が低下しました。この更新により、Directory Server は ldif2db
操作の前にキャッシュの自動チューニングをトリガーし、インポートパフォーマンスが向上します。
dsconf schema matchingrules list
コマンドは、新しい inchainMatch
マッチングルールを表示するようになりました。
以前は、inchainMatch
がマッチング構文なしで登録されていたため、dsconf
ユーティリティーは、サポートされている inchainMatch
マッチングルールをマッチングルールのリストに表示しませんでした。この更新により、inchainMatch
の構文が定義され、dsconf schema matchingrules list
コマンドを実行すると、inchainMatch
がリストに表示されます。
IdM クライアントインストーラーは、ldap.conf
ファイルで TLS CA 設定を指定しなくなる
以前は、IdM クライアントインストーラーは ldap.conf
ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf
ファイルに TLS CA 設定をセットアップしません。