6장. 주요 버그 수정

백엔드 트랜잭션 플러그인이 실패한 후 감사 캐시를 플러시합니다.

이전 버전에서는 백엔드 트랜잭션 플러그인이 실패한 경우 Directory Server에서 작업을 롤백하지만 항목 캐시의 변경 사항을 취소하지 않았습니다. 그 결과 항목 캐시에 잘못된 항목이 포함되었습니다. 이번 업데이트를 통해 백엔드 트랜잭션 플러그인이 실패한 후 Directory Server에서 항목 캐시를 플러시합니다. 그 결과 클라이언트는 언급된 상황에서 데이터베이스를 쿼리할 때 올바른 데이터를 검색합니다.

ds-replcheck 유틸리티에서 더 이상 복제본에서 일치하지 않는 항목을 잘못 보고하지 않음

이전에는 관리자가 tombstones가 있는 다른 Directory Server 복제본에서 ds-replcheck 유틸리티를 실행한 경우 ds-replcheck 에서 복제본 중 하나가 tombstone 항목이 누락되었다고 보고했습니다. 각 복제본에서 tombstone 항목이 일치하지 않을 것으로 예상됩니다. 이번 업데이트를 통해 ds-replcheck 는 더 이상 tombstone 항목을 검색하지 않습니다. 결과적으로 이 유틸리티는 누락된 항목을 문제로 보고하지 않습니다.

cleanAllRUV 작업이 실행되는 동안 서비스를 종료할 때 Directory Server가 더 이상 충돌하지 않음

이전 버전에서는 cleanAllRUV 작업에서 작업에서 사용하던 여유 리소스를 실행하는 동안 Directory Server 서비스를 중지했습니다. 이로 인해 서비스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 Directory Server는 서비스 종료 프로세스가 진행되기 전에 작업을 완료할 수 있는 참조 카운터를 늘립니다. 그 결과 앞서 언급한 시나리오에서 서버가 더 이상 충돌하지 않습니다.

passwordInHistory 가 0으로 설정된 경우 디렉터리 서버가 현재 암호를 올바르게 거부합니다.

이전에는 관리자가 Directory Server의 passwordInHistory 특성을 0 으로 설정할 수 없었습니다. 결과적으로 사용자는 현재 사용 중인 것과 동일한 암호로 암호를 재설정할 수 있습니다. 이번 업데이트를 통해 이제 passwordInHistory 를 0 으로 설정하고 결과적으로 현재 암호를 확인할 수 있습니다.

Directory Server에서 더 이상 1023자를 초과하는 nsSSL3Ciphers 값이 잘리지 않음

이전 버전에서는 Directory Server에서 고정된 버퍼 크기를 사용하여 cn=encryption,cn=config 항목의 nsSSL3Ciphers 매개변수에 설정된 기본 TLS 암호를 저장했습니다. 그 결과 값이 1024자보다 길면 서버는 값을 잘린 후 처음 1023자에만 지정된 암호만 사용했습니다. 이번 수정으로 Directory Server는 더 이상 값을 저장하기 위해 고정된 버퍼 크기를 사용하지 않습니다. 그 결과 설정이 예상대로 작동합니다.

Directory Server에서 더 이상 실제 특성보다 우선 순위가 높은 CoS 특성을 사용하지 않습니다.

이전에는 Directory Server에서 실제 특성보다 우선 순위가 높은 CoS(Operational -default Class of Service) 특성을 사용했습니다. 결과적으로 서버는 하위 트리에 정의된 CoS 정책을 사용하여 로컬 암호에 설정된 특성을 덮어씁니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 CoS 정의 암호 정책이 예상대로 작동합니다.

Directory Server에서 암호 변경 시 사용자의 pwdLastSet 필드를 업데이트

이전 버전에서는 암호 동기화를 사용하고 사용자가 Directory Server에서 암호를 변경한 경우 서버는 pwdLastSet 속성을 설정하지 않았습니다. 그 결과 AD(Active Directory)는 여전히 사용자가 암호를 업데이트하도록 강제 적용했습니다. 이제 Directory Server에서 언급된 시나리오에서 pwdLastSet 을 업데이트합니다. 그 결과는 다음과 같습니다. AD는 사용자가 암호를 다시 변경하도록 강제하지 않습니다.

범위를 사용하는 검색은 더 이상 Directory Server에서 불완전한 결과를 반환하지 않습니다.

이전 버전에서는 사용자가 범위가 하나로 설정된 검색을 수행할 때 검색 작업에서 예상되는 모든 항목을 반환하지 않았습니다. 이번 업데이트를 통해 Directory Server는 한 수준 검색을 위한 항목 후보 목록을 올바르게 생성합니다. 그 결과 서버에서 예상 항목을 반환합니다.

IPv6 및 IPv4 주소가 모두 사용되는 경우 Directory Server에서 더 이상 ACI에서 IPv6 주소를 무시하지 않습니다.

관리자는 액세스를 허용 또는 거부하도록 ACI(Access Control Instructions)에서 IPv4 및 IPv6 주소를 모두 지정할 수 있습니다. 이전에는 ACI에 IPv4 및 IPv6 주소가 모두 포함된 경우 Directory Server에서 IPv6 주소를 무시했습니다. 그 결과 ACI가 예상대로 작동하지 않았습니다. 이번 업데이트에서는 ACI에서 ip 키워드의 구문 분석을 수정합니다. 그 결과 IP 기반 ACI는 언급된 시나리오에서 예상대로 작동합니다.

읽기 전용 Directory Server에 modrdn 작업 복제

Directory Server의 충돌 항목 관리에는 modrdn 작업에 대한 추적 항목을 추가해야 합니다. 이전에는 읽기 전용 소비자에서 이러한 항목을 추가하는 데 실패하여 결과적으로 modrdn 작업을 이러한 인스턴스에 복제할 수 없었습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 modrdn 작업을 읽기 전용 사용자에게 성공적으로 복제합니다.

Directory Server가 작업을 삭제하는 시간

이전 버전에서는 Directory Server에서 작업이 완료된 후 2분 후에 작업 항목을 삭제했습니다. 그 결과 작업을 모니터링하는 애플리케이션이 작업 결과를 누락할 수 있었습니다. 이번 업데이트에서는 서버가 작업을 삭제하는 시간을 변경합니다. 기본적으로 완료된 작업은 가져오기 및 내보내기 작업을 제외하고 1시간 후에 삭제됩니다. 이 작업은 완료 후 24시간 후에 삭제됩니다.

passwordWarning 이 86400보다 낮게 설정된 경우 Directory Server에서 shadowWarning 특성을 반환하지 않았습니다.

이전에는 cn=config 항목의 passwordWarning 속성이 86400 초보다 낮은 값으로 설정된 경우 Directory Server에서 검색에서 shadowWarning 특성을 반환하지 않았습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 서버는 언급된 시나리오의 shadowWarning 특성 값을 반환합니다.

gRPC5 메모리 캐시가 스레드로부터 안전하게 보호됨

이전에는 Kerberos V5 로그인 프로그램(ECDHE5)의 메모리 캐시가 완전히 스레드로부터 안전하지 않았습니다. 이로 인해 경우에 따라 다중 스레드 액세스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 메모리 캐시가 더 스레드로부터 더 안전하게 정리됩니다. 결과적으로 더 이상 충돌이 발생하지 않습니다.

FIPS CloudEvent에서 금지하는 settings 5 구성이 이제 다시 작동할 수 있습니다.

이전 버전에서는 Red Hat Enterprise Linux 7.6 build of the Kerberos V5 (ECDHE5 ) 시스템의 빌드가 FIPSECDHE에 대한 규정 준수를 증가시켰습니다. 그 결과 FIPS CloudEvent에 의해 금지되었던 특정 이전에 허용된 구성이 작동을 중지했습니다. 이번 업데이트를 통해 FIPS 호환이 아닌 FIPS 모드에서만 작업해야 하므로 변경 사항이 취소되었습니다. 결과적으로 FIPS CloudEvent에서 금지된 구성이 이제 다시 작동할 수 있습니다.

numSubordinates 속성의 값이 프로필 항목 수를 초과하는 경우에도 인증서 시스템이 시작됩니다.

LDAP numSubordinates operational 속성은 예상되는 프로필 항목 수를 정의합니다. 이전에는 인증서 시스템이 모든 프로필과 경량 CA(인증 기관)가 로드될 때까지 시작되지 않았습니다. 결과적으로 속성의 값이 시작 프로세스가 완료되지 않은 프로필 항목 수를 초과하는 경우 이번 업데이트를 통해 워치독 타이머는 언급된 시나리오의 짧은 지연 후 시작 프로세스가 강제 진행되도록 하고 인증서 시스템은 예기치 않은 상태를 기록합니다. 결과적으로 프로필 또는 경량 CA 하위 트리의 numSubordinates 가 검색 결과의 항목 수를 초과하는 경우에도 인증서 시스템이 완료됩니다.

TLS_RSA_* 암호는 인증서 시스템에서 기본적으로 비활성화되어 있습니다.

이전에는 기본적으로 인증서 시스템에서 TLS_RSA_* 암호가 활성화되었습니다. 그러나 FIPS(Federal Information Processing Standard) 모드의 특정 HSM(하드웨어 보안 모듈) 환경에서 이러한 암호는 지원되지 않습니다. 그 결과 SSL 핸드셰이크가 실패하고 연결이 설정되지 않았습니다. 이번 업데이트에서는 기본적으로 TLS_RSA_* 암호를 비활성화합니다. 결과적으로 연결은 FIPS 모드에서 해당 HSM과 함께 작동합니다.

인증서 시스템 REST API는 더 이상 로그 파일에 일반 텍스트 암호를 저장하지 않음

이전에는 인증서 시스템 REST API에서 일반 암호 값을 필터링하지 않았습니다. 그 결과 로그 파일에서 암호가 일반 텍스트로 표시되었습니다. 이번 업데이트를 통해 서버는 password 특성 값을 "(sensitive)"로 바꿉니다. 결과적으로 일반 텍스트 암호가 더 이상 로그에 표시되지 않습니다.

인증서 시스템에서 클라이언트 인증을 비활성화할 수 있습니다.

이전 버전의 인증서 시스템은 CMCAuth를 통해 인증할 때 TLS 클라이언트 인증을 적용하는 기능을 추가했습니다. 그러나 일부 이전 애플리케이션에서는 TLS 클라이언트 인증을 지원하지 않으며 인증서 시스템에 연결하지 못했습니다. 이번 업데이트에서는 bypassClientAuth 구성 매개변수를 /var/lib/pki/pki-instance_name/ca/conf/CS.cfg 파일에 추가합니다. 결과적으로 관리자는 특정 애플리케이션에서 지원하지 않는 경우 이 매개변수를 true 로 설정하여 클라이언트 인증을 비활성화할 수 있습니다.

PKCS #12 파일을 사용할 때 인증서 시스템 CA 설치에 성공

이전에는 pki_ca_signing_cert_path 매개변수의 기본값이 사전 정의된 경로로 설정되었습니다. 관리자가 PKCS #12 파일을 사용하여 CA(인증 기관)를 설치할 때 매개 변수를 검증하는 최근 변경으로 인해 pki _ ca_signing_cert_path=/etc/pki/tomcat/external_ca.cert 오류와 함께 설치에 실패했습니다. 이번 업데이트에서는 pki_ca_signing_cert_path 의 기본값을 제거하여 문제를 해결합니다. 그 결과 언급된 시나리오에서 CA 설치가 성공합니다.

pki 유틸리티에서 암호를 올바르게 요청

이전에는 사용자가 명령줄 옵션을 사용하여 암호를 제공하지 않은 경우 pki 유틸리티에서 암호를 입력하라는 메시지를 표시하지 않았습니다. 그 결과 pki 에서 Error: 사용자 암호가 누락 되어 작업이 실패했습니다. pki 유틸리티는 설명된 상황에서 암호를 입력하라는 메시지를 표시하도록 수정되었습니다.

전체 파일 시스템으로 인해 서명된 감사 로그를 저장할 수 없는 경우 인증서 시스템이 자동으로 종료됩니다.

이전 버전에서는 감사 서명이 활성화되어 있고 인증서 시스템이 서명된 감사 로그를 저장한 파일 시스템이 가득 차 있는 경우 인증서 시스템이 계속 작동하지만 추가 작업을 기록하지 않았습니다. 서명된 감사 로그가 누락되지 않도록 하려면 이제 언급된 시나리오에서 인증서 시스템이 자동으로 종료됩니다.

SSSD는 AD LDAP 서버를 사용하여 initgroup 조회의 POSIX 속성을 검색합니다.

SSSD 서비스는 initgroup 조회에 AD(Active Directory) 글로벌 카탈로그(GC)를 사용하지만 사용자 홈 디렉터리 또는 쉘과 같은 POSIX 속성은 기본적으로 GC 세트에 복제되지 않습니다. 결과적으로 SSSD가 SSSD 조회 중에 POSIX 속성을 요청하면 SSSD가 GC에 존재하지 않기 때문에 서버에서 제거할 속성을 잘못 고려한 후 SSSD 캐시에서도 제거합니다. 이번 업데이트를 통해 AD LDAP 서버에 스키마 변경 없이도 POSIX 속성이 포함되어 있으므로 initgroup 조회는 LDAP 및 GC 연결 간에 적절하게 전환됩니다. 결과적으로 shell 또는 홈 디렉터리와 같은 POSIX 속성은 더 이상 덮어쓰거나 누락되지 않습니다.

NIS가 passwd.adjunct를 사용할 때 ypchsh 로 쉘을 변경해도 더 이상 덮어쓰지 않는 암호가 생성됩니다.

이전 버전에서는 NIS 서버가 passwd.adjunct 맵을 지원하도록 설정되고 사용자가 ypchsh 명령을 사용하여 NIS 클라이언트의 쉘을 변경한 경우, yppasswdd 데몬은 ##username 문자열로 있는 passwd.adjunct 내부의 사용자 암호 해시를 덮어쓸 수 있었습니다. 결과적으로 암호 해시가 손상되어 영향을 받는 사용자가 로그인할 수 없었습니다. 이 버그는 수정되었으며 yppasswdd 는 사용자의 쉘 정보를 업데이트하는 동안 더 이상 사용자 암호 해시를 덮어쓰지 않습니다. 결과적으로 사용자가 ypchsh 를 실행한 후 새 쉘에 성공적으로 로그인할 수 있습니다.