6.9. IdM (Identity Management)

certmonger 가 숨겨진 복제본에서 KDC 인증서를 올바르게 갱신

이전에는 인증서가 만료될 때 certmonger 가 숨겨진 복제본에서 KDC 인증서를 갱신하지 못했습니다. 이는 갱신 프로세스가 숨겨진 복제본이 활성 KDC로 간주되기 때문에 발생했습니다. 이번 업데이트를 통해 숨겨진 복제본은 활성 KDC로 처리되고 certmonger 는 이러한 서버에서 KDC 인증서를 성공적으로 갱신합니다.

Automembership 플러그인은 기본적으로 더 이상 그룹을 정리하지 않습니다.

이전에는 automember rebuild 작업에서 먼저 모든 멤버십 값을 제거한 다음 멤버십을 처음부터 다시 빌드했습니다. 그 결과 다른 be_txn 플러그인이 활성화된 경우 재빌드 작업이 많이 필요했습니다.

작업이 완료되면 할당된 메모리가 해제됨

이전에는 각 작업에 대해 KCM에 의해 할당된 메모리가 연결이 닫힐 때까지 해제되지 않았습니다. 결과적으로 연결을 열고 동일한 연결에서 많은 작업을 실행한 클라이언트 애플리케이션의 경우 연결이 닫힐 때까지 할당된 메모리가 해제되지 않았기 때문에 메모리가 눈에 띄게 증가했습니다. 이번 업데이트를 통해 작업이 완료되는 즉시 작업에 할당된 메모리가 릴리스됩니다.

이름에 혼합된 대소문자 문자가 포함된 경우 IdM 클라이언트는 신뢰할 수 있는 AD 사용자의 정보를 올바르게 검색

이전 버전에서는 사용자의 사용자 조회 또는 인증을 시도했고 신뢰할 수 있는 AD(Active Directory) 사용자에게 이름에 혼합된 케이스 문자가 포함되어 있고 IdM에서 재정의를 통해 구성된 경우 오류가 반환되어 사용자가 IdM 리소스에 액세스할 수 없었습니다.

암호를 변경하는 동안 유예 로그인이 남아 있지 않은 경우 SSSD에서 오류를 올바르게 반환합니다.

이전 버전에서는 사용자의 LDAP 암호가 만료된 경우 SSSD에서 더 이상 유예 로그인이 남아 있지 않아 사용자의 초기 바인딩에 실패한 후에도 암호를 변경하려고 했습니다. 그러나 사용자에게 반환된 오류는 실패 이유를 표시하지 않았습니다. 이번 업데이트를 통해 바인딩이 실패하면 암호 변경 요청이 취소되고 SSSD에서 더 이상 유예 로그인이 없음을 나타내는 오류 메시지를 반환하고 다른 방법으로 암호를 변경해야 합니다.

realm leave 명령을 사용하여 도메인에서 시스템 제거

이전 버전에서는 sssd.conf 파일의 ad_server 옵션에 여러 이름이 설정된 경우 realm leave 명령을 실행하면 구문 분석 오류가 발생하고 시스템이 도메인에서 제거되지 않았습니다. 이번 업데이트를 통해 ad_server 옵션이 올바르게 평가되고 올바른 도메인 컨트롤러 이름이 사용되고 도메인에서 시스템이 올바르게 제거됩니다.

KCM은 올바른 sssd.kcm.log 파일에 기록합니다.

이전에는 logrotate 가 Kerberos Credential Manager(KCM) 로그 파일을 올바르게 순환했지만 KCM은 이전 로그 파일인 sssd_kcm.log.1 에 로그를 잘못 작성했습니다. KCM이 다시 시작되면 올바른 로그 파일을 사용했습니다. 이번 업데이트를 통해 logrotate 가 호출된 후 로그 파일이 순환되고 KCM이 sssd_kcm.log 파일에 올바르게 로그됩니다.

realm leave --remove 명령은 더 이상 인증 정보를 요청하지 않음

이전에는 realm 유틸리티에서 realm leave 작업을 실행할 때 유효한 Kerberos 티켓을 사용할 수 있는지 올바르게 확인하지 않았습니다. 그 결과 유효한 Kerberos 티켓을 사용할 수 있는 경우에도 사용자에게 암호를 입력하라는 요청을 받았습니다. 이번 업데이트를 통해 이제 realm 에서 유효한 Kerberos 티켓이 있는지 올바르게 확인하고 더 이상 realm leave --remove 명령을 실행할 때 암호를 입력하도록 요청하지 않습니다.

FIPS 모드에서 IdM Vault 암호화 및 암호 해독이 더 이상 실패하지 않음

이전에는 IdM Vault에서 OpenSSL RSA-PKCS1v15를 기본 패딩 래핑 알고리즘으로 사용했습니다. 그러나 RHEL의 FIPS 인증 모듈은 FIPS 승인 알고리즘으로 PKCS#1 v1.5를 지원하지 않아 FIPS 모드에서 IdM Vault가 실패합니다. 이번 업데이트를 통해 IdM Vault는 RSA-OAEP 패딩 패딩 알고리즘을 폴백으로 지원합니다. 결과적으로 IdM Vault 암호화 및 암호 해독이 FIPS 모드에서 올바르게 작동합니다.

CA가 아닌 IdM 복제본 설치가 더 이상 서버 유사성 구성으로 실패하지 않음

일부 시나리오에서는 CA(인증 기관) 없이 IdM 복제본을 설치하는 데 CA_REJECTED 오류로 실패했습니다. 인증서 검색을 시도하는 certmonger 서비스로 인해 오류가 발생하여 새 복제본을 복잡한 토폴로지에 추가할 때 복제 세부 정보가 불완전했습니다.

Kerberos 키 배포 센터 버전 1.20 이상에서는 버전 1.18.2 및 이전 버전을 실행하는 KDC에서 생성된 티켓을 처리합니다.

이전에는 Kerberos 버전 1.20 이상을 실행하는 KDC(Key Distribution Center)와 버전 1.18.2 또는 이전 버전을 실행하는 KDC 간에 호환성 문제가 발생했습니다. 그 결과 Kerberos 1.20 이상을 실행하는 KDC에서 발행한 증명 티켓이 Kerberos 1.18.2 또는 이전 버전을 실행하는 KDC로 전송될 때 이전 KDC는 AD-SIGNTICKET 특성을 지원하지 않기 때문에 티켓 부여 서비스 요청을 거부했습니다.

dirsrv 파일의 SELinux 레이블링이 DEBUG 로그 수준으로 이동되었습니다.

이전에는 dirsrv 파일의 SELinux 레이블 지정에 INFO 로그 수준이 있었습니다. 이번 업데이트를 통해 이전 버전과 동일한 방식으로 dirsrv 파일에 DEBUG 로그 수준이 사용됩니다.

관련 접미사 없이 백엔드를 구성할 때 디렉터리 서버가 더 이상 세그먼트 결함이 발생하지 않음

이전 버전에서는 백엔드가 관련 접미사 없이 구성된 경우 시작 중에 Directory Server에 세그먼트 오류가 있었습니다. 이번 업데이트를 통해 Directory Server는 접미사에 액세스하기 전에 접미사가 백엔드와 연결되어 있는지 확인합니다. 결과적으로 세그먼트 오류가 더 이상 발생하지 않습니다.

페이지가 지정된 결과 검색을 종료한 후 Directory Server가 더 이상 실패하지 않음

이전에는 경쟁 조건이 페이지링된 결과 검색을 중단하는 동안 힙 손상 및 Directory Server 실패의 이유였습니다. 이번 업데이트를 통해 경쟁 조건이 수정되었으며 Directory Server 오류가 더 이상 발생하지 않습니다.

연결 테이블 크기에 대한 사용자 지정 값을 구성한 경우 업그레이드 후 디렉터리 서버가 올바르게 시작됩니다.

이전 버전에서는 연결 테이블 크기에 사용자 지정 값을 설정하고 nsslapd-conntablesize 속성이 dse.ldif 파일에 있는 경우 업그레이드 후 Directory Server가 시작되지 않았습니다. 이번 릴리스에서는 dse.ldif 파일에 nsslapd-conntablesize 를 사용하여 업그레이드한 후 Directory Server가 올바르게 시작됩니다.

콘텐츠 동기화 플러그인이 동적으로 활성화된 경우 디렉터리 서버가 더 이상 실패하지 않음

이전 버전에서는 콘텐츠 동기화 플러그인이 동적으로 활성화된 경우 사전 작업 Cryostatallback이 등록되지 않았기 때문에 작업 후 플러그인 콜백에 세그먼트 오류가 발생했습니다. 이번 업데이트를 통해 post-operation 플러그인 콜백은 메모리가 초기화되고 Directory Server가 더 이상 실패하지 않는지 확인합니다.