6장. 주요 버그 수정
이 장에서는 사용자에게 중요한 영향을 미치는 Red Hat Enterprise Linux 7.9에서 수정된 버그에 대해 설명합니다.
6.1. 인증 및 상호 운용성
Directory Server에 SASL 바인딩을 사용할 때 교착 상태가 더 이상 발생하지 않습니다
이전에는 Directory Server에 대한 SASL 바인딩에서 연결 프로세스 중에 수정된 콜백 사용을 시도할 수 있었습니다. 그 결과 교착 상태가 발생하고 Directory Server가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 서버는 사용 중인 동안 IO 계층 및 콜백을 수정하지 않는 연결 잠금을 사용합니다. 결과적으로 SASL 바인드를 사용할 때 교착 상태가 더 이상 발생하지 않습니다.
389-ds-base
패키지에서 Directory Server 사용자가 소유한 디렉터리에 필요한 권한을 설정합니다.
Directory Server 사용자가 소유한 파일 시스템에 있는 디렉터리에 올바른 권한이 없는 경우 디렉터리 서버 유틸리티에서 적절하게 조정합니다. 그러나 이러한 권한이 RPM 설치 중에 설정된 권한과 다른 경우 rpm -V 389-ds-base
명령을 사용하여 RPM을 확인하는 데 실패했습니다. 이번 업데이트에서는 RPM의 권한이 수정되었습니다. 결과적으로 389-ds-base
패키지를 확인해도 더 이상 잘못된 권한에 대해 보고하지 않습니다.
IPv6와 함께 ACI에서 ip
바인딩 규칙을 사용할 때 Directory Server에서 메모리 누수가 수정되었습니다.
Directory Server의 ACI(액세스 제어 명령) 컨텍스트가 연결에 연결되어 있으며 IPv4 및 IPv6 프로토콜의 구조를 포함합니다. 이전에는 클라이언트가 연결을 종료할 때 Directory Server가 유일한 IPv4 구조와 컨텍스트를 제거했습니다. 결과적으로 관리자가 IP
바인딩 규칙을 사용하여 ACI를 구성하면 Directory Server에서 IPv6 구조의 메모리가 유출되었습니다. 이번 업데이트를 통해 서버는 연결 끝에 IPv4 및 IPv6 구조를 모두 사용할 수 있습니다. 결과적으로 Directory Server에서 더 이상 언급된 시나리오에서 메모리가 유출되지 않습니다.
IP
바인딩 규칙과 함께 ACI를 사용할 때 Directory Server에서 더 이상 메모리가 유출되지 않습니다
Directory Server ACI(액세스 제어 명령)에 ip
bind 규칙이 포함된 경우 서버는 ACI를 평가하면서 ip
키워드의 값을 참조로 저장합니다. 이전에는 평가가 완료된 Directory Server에서 ip
값을 해제하지 않았습니다. 그 결과 서버가 ip
bind 규칙을 사용하여 ACI를 평가할 때마다 서버에서 약 100바이트의 메모리가 유출되었습니다. 이번 업데이트를 통해 Directory Server는 커넥션별 구조에서 ip
값을 추적하고 연결이 닫히면 구조를 해제합니다. 결과적으로 Directory Server는 더 이상 언급된 시나리오에서 메모리를 유출하지 않습니다.
디렉터리 서버는 더 이상 rootdn-allow-ip 및
매개변수의 와일드카드를 거부하지 않습니다.rootdn-deny-ip
이전 버전에서는 관리자가 cn=RootDN Access Control 플러그인,cn=plugins,cn=config
항목에서
매개변수에 와일드카드를 설정하려고 하면 Directory Server에서 값을 거부했습니다. 이번 업데이트를 통해 언급된 매개 변수에서 허용되거나 거부된 IP 주소를 지정할 때 와일드카드를 사용할 수 있습니다.
rootdn-allow-ip
또는 rootdn-deny-ip
Directory Server는 시스템 시간을 검색하는 데 실패하거나 시간 차이가 너무 크면 업데이트 작업을 거부합니다.
이전에는 system time() 함수를 호출하지 못하거나 함수에서 예기치 않은 값을 반환했을 때 Directory Server의 CSR(변경 순서 번호)이 손상될 수 있었습니다. 그 결과 관리자는 해당 환경의 모든 복제본을 다시 초기화해야 했습니다. 이번 업데이트를 통해 time() 함수가 실패한 경우 Directory Server에서 업데이트 작업을 거부하고, Directory Server에서 더 이상 언급된 시나리오에서 손상된 CSN을 생성하지 않습니다.
시간 차이가 1일보다 크면 서버는 INFO - csngen_new_csn -
건너뛰기를 기록합니다. 그러나 Directory Server는 여전히 scN을 생성하며 업데이트 작업을 거부하지는 않습니다.
/var/log/dirsrv/slapd-<instance_name>/error 파일에서 INFO - csngen_new_
csn - qN 시간 메시지에서 감지된 큰
Directory Server가 스키마를 업데이트하는 동안 중단되지 않음
이전에는 검색 및 수정 작업이 혼합 로드되는 동안 Directory Server 스키마를 업데이트하면 모든 검색 및 수정 작업이 차단되었으며 서버가 중단된 것처럼 표시되었습니다. 이번 업데이트에서는 스키마 업데이트 중에 뮤텍스 잠금을 조정합니다. 결과적으로 스키마를 업데이트하는 동안 서버가 중지되지 않습니다.
간접 COS 정의를 사용할 때 디렉터리 서버가 더 이상 메모리를 유출하지 않습니다
이전에는 COS(서비스로서의 클래스) 정의를 처리한 후 Directory Server에서 간접 COS 정의를 사용하는 각 검색 작업에 대해 메모리가 누수되었습니다. 이번 업데이트를 통해 Directory Server를 처리한 후 데이터베이스 항목과 관련된 모든 내부 COS 구조를 사용할 수 있습니다. 결과적으로 간접 COS 정의를 사용할 때 서버에서 더 이상 메모리가 유출되지 않습니다.
SSSD를 사용하여 AD 클라이언트에 전송된 암호 만료 알림
이전에는 Kerberos 자격 증명을 취득하기 위한 SSSD 인터페이스가 최근 변경되어 SSSD를 사용하는 Active Directory 클라이언트(IdM)가 암호 만료 알림이 전송되지 않았습니다.
Kerberos 인터페이스가 업데이트되어 이제 만료 알림이 올바르게 전송됩니다.
KDC가 LDAP 백엔드의 암호 수명 정책을 올바르게 적용
이전에는 Kerberos LDAP 백엔드가 암호 정책을 잘못 적용했기 때문에 비IPA Kerberos 배포 센터(KDC)가 최대 암호 수명이 보장되지 않았습니다. 이번 업데이트를 통해 Kerberos LDAP 백엔드가 수정되었으며 암호 라이프사이클이 예상대로 작동합니다.
nuxwdog
가 활성화된 경우 pkidaemon
툴에서 PKI 인스턴스의 올바른 상태를 보고
이전에는 pkidaemon status
명령에서 nuxwdog
watchdog가 활성화된 PKI 서버 인스턴스에 대한 올바른 상태를 보고하지 않았습니다. 이번 업데이트를 통해 pkidaemon
은 nuxwdog
가 활성화되었는지 감지하고 PKI 서버의 올바른 상태를 보고합니다.