6.11. Identity Management

ipa-replica-manage コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew 設定をリセットしなくなりました。

以前は、設定された値に関係なく、ipa-replica-manage force-sync コマンドは nsslapd-ignore-time-skew 設定を off にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew 設定が上書きされなくなりました。

ipa idrange-add コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる

以前は、ipa idrange-add コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。

certmonger が、非表示のレプリカ上の KDC 証明書を正しく更新するようになりました。

以前は、証明書の有効期限が近づいたときに、certmonger が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。

AD 管理者は IdM レプリカを展開できるようになりました

以前は、RHEL Identity Management (IdM) レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックは、ユーザー ID オーバーライドのチェックまで拡張されませんでした。その結果、必要な権限を持つ ID オーバーライドを持つ AD 管理者の認証情報を使用してレプリカを展開しようとしたときに、レプリカ接続チェックが失敗しました。

ローカルユーザーキャッシュ用の shadow-utils と sss_cache の統合が無効になっています

/etc/shadow などのローカルファイルからユーザー情報を取得し、/etc/groups からのグループ情報をグループ化する SSSD 暗黙的 files プロバイダードメインが、デフォルトで無効になりました。ただし、shadow-utils の統合は完全に無効化されていなかったため、ローカルユーザーを追加または削除するときに sss_cache が呼び出されました。不要なキャッシュ更新により、一部のユーザーにパフォーマンスの問題が発生しました。この更新により、shadow-utils と sss_cache の統合が完全に無効化され、不要なキャッシュ更新によって発生するパフォーマンスの問題が発生しなくなりました。

Directory Server は nsslapd-idletimeout を無視しなくなりました

以前は、Directory Manager 以外のユーザーによって接続が開かれた場合、Directory Server は nsslapd-idletimeout 値を無視し、指定された時間が経過しても接続を閉じませんでした。この更新により、Directory Server は設定されたアイドル時間に達すると期待どおりに接続を閉じるようになります。

検索操作で大規模なグループがより速く返されるようになりました

以前は、大規模な静的グループの検索で、uniquemember 属性を持つ 等価 一致コンポーネントを含むフィルター (例: '(uniquemember=uid=foo,ou=people,<suffix>)') を使用すると、検索が遅くなり、CPU を大量に消費していました。この更新により、検索フィルターの評価中に、Directory Server はメンバー識別名 (DN) がソートされる内部構造を使用するようになり、大規模なグループの検索が高速化され、CPU の負荷が軽減されます。

1 レベルのスコープ検索でサブ接尾辞が返されなくなりました。

以前は、-s オプションを 1 に設定して ldapsearch コマンドを実行すると、検索結果に -b オプションで指定されたエントリーのサブ接尾辞が含まれていませんでした。この更新により、1 レベルのスコープ検索でエントリーの直下の子エントリーが正常に返されるようになりました。

参照整合性プラグインがサーバー障害を引き起こさなくなりました

以前は、遅延チェックで参照整合性プラグインを使用すると、チェックを処理したスレッドがシャットダウン時に解放されたデータ構造にアクセスし、サーバー障害が発生する可能性がありました。この更新により、プラグインは、遅延チェックスレッドが停止し、障害が発生しなくなるまでデータ構造を解放しなくなりました。

dscreate ds-root コマンドは相対パスを受け入れるようになりました

以前は、非ルートユーザーとしてインスタンスを作成し、相対パスを含む bin_dir 引数値を指定しようとした場合、相対パスが defaults.inf ファイルに書き込まれ、インスタンスの作成に失敗していました。この更新により、bin_dir 引数値として相対パスを指定すると、インスタンスが正常に作成されるようになりました。

LDIF ファイルのオフラインインポートが正しく実行されるようになりました

以前は、オフラインインポートの前にキャッシュの自動調整操作はトリガーされませんでした。その結果、ldif2db スクリプトでインポート操作を実行すると、速度が低下しました。この更新により、Directory Server は ldif2db 操作の前にキャッシュの自動チューニングをトリガーし、インポートパフォーマンスが向上します。

dsconf schema matchingrules list コマンドは、新しい inchainMatch マッチングルールを表示するようになりました。

以前は、inchainMatch がマッチング構文なしで登録されていたため、dsconf ユーティリティーは、サポートされている inchainMatch マッチングルールをマッチングルールのリストに表示しませんでした。この更新により、inchainMatch の構文が定義され、dsconf schema matchingrules list コマンドを実行すると、inchainMatch がリストに表示されます。

IdM クライアントインストーラーは、ldap.conf ファイルで TLS CA 設定を指定しなくなる

以前は、IdM クライアントインストーラーは ldap.conf ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf ファイルに TLS CA 設定をセットアップしません。