6장. 주요 버그 수정

디렉터리 서버 버전 1.3.10으로 재 기반

389-ds-base 패키지가 업스트림 버전 1.3.10으로 업그레이드되어 이전 버전에 비해 여러 버그 수정을 제공합니다.

서버가 검색 작업을 거부하면 Directory Server가 검색 기반을 올바르게 기록합니다.

이전 버전에서는 Directory Server에서 프로토콜 오류로 인해 검색 작업을 거부했을 때 실제 검색 기반 대신 base="(null)" 를 기록했습니다. 이번 업데이트를 통해 Directory Server에서 올바른 내부 변수를 로그 작업에 전달합니다. 결과적으로 서버는 언급된 시나리오에서 검색 기반을 올바르게 기록합니다.

Directory Server에서 etime 값의 로깅 개선

이전 버전에서는 1초 경계에서 작업을 시작하고 완료한 경우 Directory Server가 잘못 계산된 etime 값을 1초 미만으로 기록했습니다. 그 결과 기록된 값이 너무 커졌습니다. 이번 업데이트에서는 이 문제가 해결되었습니다. 결과적으로 계산된 etime 값이 이제 시작 및 종료 타임 스탬프에 더 가깝습니다.

Directory Server가 액세스 로그에 올바른 etime 값을 기록

이전 버전에서는 Directory Server에서 /var/log/dirsrv/slapd-<instance_name>/access 로그 파일에서 etime 필드를 잘못 포맷했습니다. 그 결과 나노초의 시간 값이 실제 값보다 10배 낮았습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 Directory Server는 이제 etime 필드에 올바른 나노초 값을 기록합니다.

Directory Server 로그 메시지의 심각도가 변경되었습니다.

이전 버전에서는 Directory Server 에서 Event <event_name> 상태가 <state_name>으로 발생하지 않아야 했습니다. 오류로 메시지를 자는 중입니다. 이번 업데이트에서는 이 메시지의 심각도가 warning 으로 변경됩니다.

Directory Server는 한 요청에서 1.1 및 기타 속성을 검색할 때 RFC 4511을 준수합니다.

일치하는 고유 이름(DN) 목록만 검색하려면 LDAP 사용자가 1.1 특수 특성을 검색할 수 있습니다. RFC 4511에 따르면 LDAP 클라이언트가 한 검색 요청의 다른 속성과 함께 1.1. 특수 속성을 검색하는 경우 서버는 1.1 특수 속성을 무시해야 합니다.

Directory Server에서 암호 정책 제어를 올바른 순서로 반환합니다.

이전 버전에서는 사용자의 암호가 만료된 경우 유예 로그인이 소진되었는지 여부에 따라 Directory Server에서 암호 정책 제어를 다른 순서로 반환했습니다. 이로 인해 RFC 4511 표준을 준수하는 LDAP 클라이언트의 문제가 발생하는 경우가 있었습니다. 이번 업데이트에서는 문제가 해결되어 Directory Server에서 암호 정책 제어를 올바른 순서로 반환합니다.

디렉터리 서버는 확장 작업에서 수신한 최대 동시 정리AllRUV 작업에도 제한을 적용합니다.

Directory Server는 최대 64개의 동시 cleanAllRUV 작업을 지원합니다. 이전 버전에서는 Directory Server에서 이 제한을 수동으로 생성한 작업에만 적용하고 확장 작업에서 수신한 작업에는 적용되지 않았습니다. 그 결과 64개가 넘는 동시 cleanAllRUV 작업이 동시에 실행되고 서버 속도가 느려질 수 있었습니다. 이번 업데이트에서는 정리 작업 수와 중단 스레드 수를 추적하는 카운터를 추가합니다. 결과적으로 최대 64개의 동시 정리AllRUV 작업만 동시에 실행될 수 있습니다.

많은 nested-subtrees가 있는 Directory Server 데이터베이스로 대용량 LDIF 파일 가져오기가 크게 빨라졌습니다.

이전 버전에서는 Directory Server 데이터베이스에 여러 개의 중첩된 하위 트리가 포함된 경우 ldif2db 및 ldif2db.pl 유틸리티를 사용하여 대규모 LDIF 파일을 가져오는 속도가 느렸습니다. 이번 업데이트를 통해 Directory Server는 모든 항목 다음에 id 인덱스를 추가합니다. 결과적으로 LDIF 파일을 많은 중첩된 하위 트리가 있는 데이터베이스로 가져오는 속도가 크게 빨라졌습니다.

Directory Server에서 이전 SASL 바인딩이 연결을 완전히 초기화한 후에만 새 작업을 처리합니다.

SASL(Simple Authentication and Security Layer) 프레임워크를 사용하는 바인딩 중에 Directory Server는 콜백 함수 집합을 초기화합니다. 이전 버전에서는 Directory Server가 SASL 바인딩 중에 동일한 연결에서 추가 작업을 수신한 경우, 이 작업이 완전히 초기화되지 않은 경우에도 콜백 함수에 액세스하여 사용할 수 있었습니다. 그 결과 Directory Server 인스턴스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 서버는 이전 SASL 바인딩이 성공적으로 초기화될 때까지 콜백 구조에 액세스하고 사용하지 못하도록 합니다. 따라서 이 경우 Directory Server가 더 이상 충돌하지 않습니다.

이제 cl-dump.pl 및 cl-dump 유틸리티에서 변경 로그를 내보낸 후 임시 파일을 제거합니다.

이전 버전에서는 Directory Server의 cl-dump.pl 및 cl-dump 유틸리티가 /var/lib/dirsrv/slapd-<instance_name>/changelogdb/ 디렉터리에 임시 LDIF 파일을 생성했습니다. 변경 로그를 내보낸 후 유틸리티에서 임시 파일의 이름이 *.done 으로 변경되었습니다. 따라서 임시 파일이 큰 경우 디스크 여유 공간이 부족해질 수 있습니다. 이번 업데이트를 통해 기본적으로 cl-dump.pl 및 cl-dump 가 내보내기 마지막에 임시 파일을 삭제합니다. 또한 임시 파일을 수동으로 유지하기 위해 -l 옵션이 두 유틸리티에 추가되었습니다. 결과적으로 cl-dump.pl 및 cl-dump 는 변경 로그를 내보낸 후 디스크 공간을 확보하거나 사용자가 -l 옵션을 사용하여 이전 동작을 선택적으로 적용할 수 있습니다.

IdM은 IdM 서버 또는 복제본을 설치하거나 업데이트할 때 TLS 1.2만 사용하도록 Apache NSS 모듈을 설정합니다.

이전 버전에서는 관리자가 IdM(Identity Management) 서버 또는 복제본을 설치할 때 설치 프로그램이 Apache 웹 서버의 NSS(Network Security Service) 모듈에 TLS 1.0, TLS 1.1 및 TLS 1.2 프로토콜을 사용하도록 설정했습니다. 이번 업데이트에서는 다음과 같은 변경 사항을 제공합니다.

IdM이 이제 cn=CAcert,cn=ipa,cn=etc,<base_DN > 항목의 인증서 레코드를 올바르게 업데이트

이전 버전에서는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신하거나 CA 인증서 체인을 수정한 후 IdM에서 cn=CAcert,cn=ipa,cn=etc,<base_DN > 항목에 저장된 인증서 레코드를 업데이트하지 않았습니다. 그 결과 RHEL 6에 IdM 클라이언트 설치에 실패했습니다. 이번 업데이트를 통해 IdM은 이제 cn=CAcert,cn=ipa,cn=etc,<base_DN >의 인증서 레코드를 업데이트합니다. 결과적으로 관리자가 CA 인증서를 갱신하거나 IdM CA의 인증서 체인을 업데이트한 후 RHEL 6에 IdM을 설치할 수 있습니다.

ipa-replica-install 유틸리티에서 --server 에 지정된 서버가 모든 필수 역할을 제공하는지 확인

ipa-replica-install 유틸리티는 설치 프로그램이 등록에 사용해야 하는 IdM(Identity Management) 서버를 지정하는 --server 옵션을 제공합니다. 이전에는 ipa-replica-install 에서 제공된 서버가 CA(인증 기관) 및 KRA(키 복구 기관) 역할을 제공하는지 확인하지 않았습니다. 결과적으로 설치 관리자는 CA 및 KRA 역할을 제공하는 다른 서버에서 지정된 서버 및 CA 데이터를 복제했습니다. 이번 업데이트를 통해 ipa-replica-install 은 지정된 서버가 필요한 모든 역할을 제공하는지 확인합니다. 결과적으로 관리자가 --server 옵션을 사용하는 경우 ipa-replica-install 은 지정된 서버의 데이터만 복제합니다.

IPA sudorule-add-option 옵션이 기존 sudo 규칙에 추가될 때 더 이상 거짓 오류를 표시하지 않음

이전에는 sudo 규칙에 이미 호스트, 호스트 그룹, 사용자 그룹 또는 사용자 그룹이 포함된 경우 ipa sudorule-add-option 명령에서 sudo 규칙 콘텐츠를 잘못 처리했습니다. 그 결과 sudooption 인수와 함께 사용한 ipa sudorule-add-option 명령에서 완료 후에도 오류가 반환되었습니다. 이 버그는 수정되었으며 ipa sudorule-add-option 은 이제 설명된 시나리오에 정확한 출력을 표시합니다.

IdM은 계정이 보존에서 스테이지로 이동할 때 더 이상 모든 사용자 지정 속성을 삭제하지 않습니다.

이전에는 IdM에서 보존 계정에 정의된 일부 속성만 처리했습니다. 결과적으로 계정을 보존에서 단계로 이동할 때 모든 사용자 지정 특성이 손실되었습니다. 이번 업데이트를 통해 IdM은 보존 계정에 정의된 모든 속성을 처리하고 설명된 문제는 더 이상 발생하지 않습니다.

하위 CA 키 복제가 더 이상 실패하지 않음

이전 버전에서는 Kerberos 라이브러리의 인증 정보 캐시(ccache) 동작을 변경하면 경량 CA(인증 기관) 키 복제가 실패했습니다. 이번 업데이트에서는 IdM 경량 CA 키 복제 클라이언트 코드를 변경된 ccache 동작에 맞게 조정합니다. 결과적으로 경량 CA 키 복제가 올바르게 작동합니다.

시스템이 다른 하위 시스템 또는 LDAP 서버에 클라이언트 역할을 하는 경우 인증서 시스템에서 감사 이벤트를 기록합니다.

이전에는 시스템이 다른 하위 시스템 또는 LDAP 서버에 클라이언트로 작동하는 경우 인증서 시스템에 감사 이벤트가 없었습니다. 그 결과 서버는 이 경우 이벤트를 기록하지 않았습니다. 이번 업데이트에서는 CLIENT_ACCESS_SESSION_ESTABLISH_FAILURE,CLIENT_ACCESS_SESSION_ESTABLISH_SUCCESS, CLIENT_ACCESS_SESSION_TERMINATED 이벤트가 인증서 시스템에 추가됩니다. 결과적으로 인증서 시스템은 클라이언트 역할을 할 때 이러한 이벤트를 기록합니다.

python-kdcproxy 라이브러리에서 더 이상 대규모 Kerberos 응답을 삭제하지 않음

이전 버전에서는 KDC(Active Directory Kerberos Distribution Center)에서 대규모 Kerberos 응답을 여러 TCP 패킷으로 분할하면 python-kdcproxy 라이브러리에서 이러한 패키지가 삭제되었습니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 python-kdcproxy 가 대규모 Kerberos 응답을 올바르게 처리합니다.