Red Hat Summit7.12. Identity Management
ipa-cacert-manage install で重複した CA サブジェクトが許可されるようになりました
以前は、IdM がサブジェクトの重複を禁止していたため、ipa-cacert-manage install を使用して、サブジェクトは同一だが秘密鍵が異なる CA 証明書を追加しようとすると、subject public key info mismatch というメッセージが表示されて失敗していました。
この更新により、その制限が緩和され、ipa-cacert-manage install が重複した CA サブジェクトを受け入れるようになりました。ただし、次の制限が残っています。
- 信頼フラグが異なる証明書を追加することはできません。
- CA が同じニックネームを共有している必要があります。
- すべての CA に Authority Key Identifier (AKI) 拡張が必要です。これが存在しないと、信頼チェーンの予期しない動作が発生します。
Jira:RHEL-30658[1]
新しく作成されたユーザーパスワードポリシーが正しく表示されます
この更新前は、Class of Service (CoS) テンプレートの cosAttribute 属性に、operational-default 修飾子ではなく operational 修飾子が設定されていました。その結果、サブツリーパスワードポリシーとユーザーパスワードポリシーの両方が存在する場合に、pwdpolicysubentry 属性が、ユーザーパスワードポリシーではなくサブツリーパスワードポリシーを参照していました。このリリースでは、CoS テンプレートは operational-default 修飾子を使用します。そのため、ユーザーポリシーが正しく表示されます。
この問題は、実際のパスワードポリシーロジックではなく、ポリシーの表示にのみ影響していました。
Jira:RHEL-109892[1]
IP アドレスにワイルドカードを使用する RootDN Access Control プラグインが失敗しなくなりました
この更新前は、RootDN Access Control プラグインの設定で、ワイルドカードを使用した IP アドレスを設定しようとすると、Invalid IP address エラーが発生して設定が失敗していました。このリリースでは、検証機能が更新されました。その結果、ワイルドカードを使用した値の設定が失敗しなくなりました。
Jira:RHEL-109889[1]
Directory Server の Web コンソールで Databases メニューが期待どおりに開きます
この更新前は、作成したデータベース名に間違った接尾辞構文が含まれている (たとえば、名前に dc= が含まれている) 場合、Directory Server Web コンソールで Databases メニューを開くことができませんでした。この更新により、Directory Server は、バックエンドの作成中にマッピングツリーの作成が失敗した場合でも、孤立したバックエンドの発生を防ぐために、ロールバック機能を使用するようになりました。その結果、Databases メニューが期待どおりに開くようになりました。
Jira:RHEL-109885[1]
nsslapd-referral を追加しても Directory Server が失敗しなくなりました
この更新前は、リファラルを使用するように Directory Server を設定しようとすると、ページ化された検索結果の処理が不適切であったために、サーバーが失敗していました。
この更新により、検索結果コードが LDAP_REFERRAL の場合、ページ化された検索結果が正しい値を返すようになり、サーバーが失敗しなくなりました。
Jira:RHEL-107585[1]
NDN キャッシュが無効な場合でも Directory Server の監視情報を期待どおりに利用できます
この更新前は、Normalized DN (NDN) キャッシュが無効な場合、バックエンドの get-tree コマンドの失敗が適切に処理されないため、dsconf <instance_name> monitor dbmon コマンドがエラーで失敗していました。このリリースでは、バックエンドの作成中にツリーの作成が失敗した場合に孤立したバックエンドの発生を防ぐために、ロールバック機能が追加されました。その結果、Directory Server の監視情報が期待どおりに返されるようになりました。
Jira:RHEL-107005[1]
Directory Server が、特定のノード配下にある子エントリーの数を正しく表示するようになりました
この更新前は、numSubordinates 属性と numTombstoneSubordinates 属性がインポート中に誤って計算されていました。その結果、特定のノード配下にある子エントリーの数を比較すると、間違った値が表示されていました。
この更新により、Directory Server は numSubordinates と numTombstoneSubordinates を正しく計算するようになりました。
Jira:RHEL-104593[1]
Directory Server の Web コンソールにサーバーのバージョンが表示されるようになりました
この更新前は、Web コンソールの Server Settings>General Settings に、サーバーバージョンが表示されませんでした。この更新により、サーバーのバージョンが正しく表示されるようになりました。
Jira:RHEL-104591[1]
NDN キャッシュの操作中に Directory Server が失敗しなくなりました
この更新前は、389-ds-base の Rust 依存関係で使用されていた arc-swap ライブラリーにより、NDN キャッシュの操作中に Directory Server で障害が発生することがありました。このリリースでは、Directory Server は、arc-swap ライブラリーを含まない更新版の Rust 依存関係 (concread) 0.5.7 を使用します。その結果、Directory Server で障害が発生しなくなりました。
Jira:RHEL-95444[1]
Directory Server が、ネストされたグループのメンバーシップを正しく表示するようになりました
この更新前は、次の条件が揃うと、Directory Server が特定エントリーの memberOf 属性の値を誤って表示していました。
- エントリーが複数のネストされたレベルを持つグループのメンバーである
- グループが、メンバーシップ関係において、複数のパスを持つ他の異なるグループに含まれている
この更新により、memberOf 識別名 (DN) 値が体系的に追加され、グループ内のエントリーメンバーシップが正しく表示されるようになりました。
Jira:RHEL-89753[1]
389-ds-base が LMDB のオフラインインポート中に失敗しなくなりました
この更新前は、ワーカースレッドが、別のプロセスによるエントリーへの書き込みが完了する前にそのエントリーを読み取ると、競合状態が発生していました。その結果、Lightning Memory-Mapped Database Manager (LMDB) バックエンドを使用するインスタンスでオフラインインポートを実行すると、セグメンテーション違反が発生していました。
この更新により、Directory Server が、エントリーを書き込む前にワーカーキューをロックすることで、スレッドセーフなアクセスを保証するようになり、LMDB オフラインインポート中にサーバーが失敗しなくなりました。
Jira:RHEL-89745[1]
dsconf がレプリケーション監視情報を正しく返します
この更新前は、0 で始まるレプリカ (010 や 020 など) を使用してサプライヤーが設定されている場合、dsconf <instance_name> replication monitor コマンドで、遅延時間またはレプリケーションステータスに関する情報を取得できませんでした。
この更新により、Replica Update Vector (RUV) 内でレプリカ ID を処理する際に、レプリカ ID の先頭にある重要でないゼロ (0) が無視されるようになりました。その結果、dsconf <instance_name> replication monitor が期待どおりの情報を提供します。
Jira:RHEL-89736[1]
ipa-healthcheck が replica busy 状態を無視するようになりました
この更新前は、サプライヤーが 2 つ以上あるトポロジーで、サプライヤーが別のノードから更新を受信しているときに、ipa-healthcheck ツールによってレプリカ合意ステータスに関するエラーが報告されていました。これは通常のレプリケーション状況です。このリリースでは、レプリカがビジー状態のときに ipa-healthcheck がエラーを報告しなくなりました。
Directory Server が読み取り専用モードで正常に起動します
この更新前は、読み取り専用モードを設定すると Directory Server が起動しませんでした。この更新により、nsslapd-readonly 属性が正しく処理され、サーバーが期待どおりに読み取り専用モードで起動するようになりました。
廃止された /var/log/tallylog ログファイルの作成が削除されました
この更新前は、pam.conf ファイルの古い設定により、/var/log/tallylog ファイルが作成されていました。現在は、廃止された pam_tally に代わる pam_faillock がシステムで使用されるため、/var/log/tallylog ファイルは不要になりました。
この更新により、pam.conf が更新され、古いログファイルの作成に関する指示が削除されました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}