6.11. Identity Management
ipa-replica-manage
コマンドは、強制レプリケーション中に nsslapd-ignore-time-skew
設定をリセットしなくなる
以前は、設定された値に関係なく、ipa-replica-manage
force-sync
コマンドは、nsslapd-ignore-time-skew
設定を off
にリセットしていました。この更新により、強制レプリケーション中に nsslapd-ignore-time-skew
設定が上書きされなくなりました。
Jira:RHEL-52300[1]
ipa idrange-add
コマンドが、すべての IdM サーバーで Directory Server を再起動する必要があることを警告するようになる
以前は、ipa idrange-add
コマンドは、新しい範囲の作成後、すべての IdM サーバーで Directory Server (DS) サービスを再起動する必要があることを管理者に警告しませんでした。その結果、管理者は DS サービスを再起動せずに、新しい範囲に属する UID または GID を持つ新しいユーザーまたはグループを作成することがありました。ユーザーやグループを追加しても、新しいユーザーやグループに SID が割り当てられませんでした。この更新により、すべての IdM サーバーで DS を再起動する必要があるという警告がコマンド出力に追加されました。
Jira:RHELDOCS-18201[1]
certmonger
が、非表示のレプリカ上の KDC 証明書を正しく更新するようになる
以前は、証明書の有効期限が近づいたときに、certmonger
が非表示のレプリカ上の KDC 証明書の更新に失敗していました。これは、更新プロセスで非表示でないレプリカのみがアクティブな KDC として考慮されたために発生していました。この更新により、非表示のレプリカがアクティブな KDC として扱われ、certmonger
がこれらのサーバー上で KDC 証明書を正常に更新するようになりました。
Jira:RHEL-39477[1]
AD 管理者が IdM レプリカをデプロイできるようになる
以前は、RHEL Identity Management (IdM) レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックは、ユーザー ID オーバーライドのチェックまで拡張されませんでした。その結果、必要な権限で ID オーバーライドがある AD 管理者の認証情報を使用してレプリカをデプロイしようとすると、レプリカ接続チェックが失敗しました。
この更新により、必要な権限を持つプリンシパルの ID オーバーライドがあるかどうかのチェックが追加されました。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになりました。
この修正は ansible-freeipa
にも適用されることに注意してください。
ローカルユーザーキャッシュ用の shadow-utils
と sss_cache
のインテグレーションが無効化されている
RHEL 9 では、/etc/shadow
などのローカルファイルからユーザー情報を取得し、/etc/groups
からグループ情報を取得する SSSD 暗黙的 files
プロバイダードメインがデフォルトで無効になっていました。ただし、shadow-utils
のインテグレーションは完全に無効化されていなかったため、ローカルユーザーを追加または削除するときに sss_cache
が呼び出されました。不要なキャッシュ更新により、一部のユーザーにパフォーマンスの問題が発生しました。この更新により、shadow-utils
と sss_cache
のインテグレーションが完全に無効化され、不要なキャッシュの更新が原因のパフォーマンスの問題が発生しなくなりました。
Jira:RHEL-56352, Jira:RHELPLAN-100639
Directory Server は nsslapd-idletimeout
を無視しなくなる
以前は、Directory Manager 以外のユーザーによって接続が開かれた場合、Directory Server は nsslapd-idletimeout
値を無視することができ、指定された時間が経過しても接続を閉じませんでした。この更新により、Directory Server は設定されたアイドル時間に達すると期待どおりに接続を閉じるようになります。
Jira:RHEL-17511[1]
検索操作で大規模なグループがより速く返されるようになる
以前は、大規模な静的グループの検索で、uniquemember
属性を持つ 等価性 一致コンポーネントを含むフィルター (例: '(uniquemember=uid=foo,ou=people,<suffix>)'
) を使用すると、検索が遅くなり、CPU を大量に消費していました。この更新により、検索フィルターの評価中に、Directory Server はメンバー識別名 (DN) がソートされる内部構造を使用するようになり、大規模なグループの検索が高速化され、CPU の負荷が軽減されます。
Jira:RHEL-49454[1]
1 レベルスコープ検索がサブサフィックスを返さない問題が解消される
以前は、-s
オプションを one
に設定して ldapsearch
コマンドを実行すると、検索結果に -b
オプションで指定されたエントリーのサブサフィックスが含まれていませんでした。この更新により、1 レベルスコープ検索は、エントリー直下の子エントリーを正常に返すようになりました。
Referential Integrity プラグインがサーバー障害を引き起こさなくなる
以前は、遅延チェックで Referential Integrity プラグインを使用すると、チェックを処理したスレッドがシャットダウン時に解放されたデータ構造にアクセスし、サーバー障害が発生する可能性がありました。この更新により、プラグインは、遅延チェックスレッドが停止し、障害が発生しなくなるまでデータ構造を解放しなくなりました。
dscreate ds-root
コマンドは相対パスを受け入れるようになる
以前は、非 root ユーザーとしてインスタンスを作成し、相対パスを含む bin_dir
引数値を指定すると、相対パスが defaults.inf
ファイルに書き込まれ、インスタンスの作成に失敗していました。この更新により、bin_dir
引数値として相対パスを指定すると、インスタンスが正常に作成されるようになりました。
LDIF ファイルのオフラインインポートが正しく実行されるようになる
以前は、オフラインインポートの前にキャッシュの自動チューニング操作はトリガーされませんでした。その結果、ldif2db
スクリプトでインポート操作を実行すると、速度が低下しました。この更新により、Directory Server は ldif2db
操作の前にキャッシュの自動チューニングをトリガーし、インポートパフォーマンスが向上します。
dsconf schema matchingrules list
コマンドは、新しい inchainMatch
マッチングルールを表示するようになりました。
以前は、inchainMatch
がマッチング構文なしで登録されていたため、dsconf
ユーティリティーは、サポートされている inchainMatch
マッチングルールをマッチングルールのリストに表示しませんでした。この更新により、inchainMatch
の構文が定義され、dsconf schema matchingrules list
コマンドを実行すると、inchainMatch
がリストに表示されます。
IdM クライアントインストーラーは、ldap.conf
ファイルで TLS CA 設定を指定しなくなる
以前は、IdM クライアントインストーラーは ldap.conf
ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf
ファイルに TLS CA 設定をセットアップしません。