8.12. IdM (Identity Management)

일반 사용자의 페이지 검색이 성능에 영향을 미치지 않음

이전 버전에서는 Directory Server가 검색 로드에 있을 때 일반 사용자의 호출이 네트워크 이벤트를 폴링하는 스레드와 충돌하기 때문에 서버 성능에 영향을 미칠 수 있었습니다. 또한 페이지 검색을 보내는 동안 네트워크 문제가 발생하면 nsslapd-iotimeout 매개변수가 만료될 때까지 전체 서버가 응답하지 않았습니다. 이번 업데이트를 통해 네트워크 이벤트와의 경합을 방지하기 위해 잠금이 여러 부분으로 분할되었습니다. 결과적으로 일반 사용자로부터 페이징된 검색 중에 성능에 영향을 미치지 않습니다.

Directory Server에서 스키마 복제가 올바르게 작동함

이전 버전에서는 Directory Server가 새 서버에 스키마를 복제할 때 원격 복제본의 99user.ldif 파일에 모든 스키마를 추가했습니다. X-ORIGIN 키워드가 모든 정의에 대해 정의된 사용자로 설정되었기 때문에 모든 사용자 지정 스키마가 포함된 것처럼 보였습니다. 결과적으로 웹 콘솔과 스키마를 모니터링하고 X-ORIGIN 키워드에 특정 값이 있을 것으로 예상되는 고객에게 문제가 발생할 수 있었습니다. 이번 업데이트를 통해 스키마 복제가 예상대로 작동합니다.

Directory Server에서 참조 모드가 올바르게 작동하고 있음

이전에는 CLI에서 nsslapd-referral 구성 특성을 매핑 트리에 설정하지 않고 백엔드에 설정했습니다. 그 결과 추천 모드가 작동하지 않았습니다. 이번 업데이트를 통해 nsslapd-referral 속성이 올바르게 설정되고 추천 모드가 예상대로 작동합니다.

LMDB 가져오기가 더 빠르게 작동합니다.

이전 버전에서는 진입점 인덱스를 빌드하기 위해 LMDB 가져오기 작업자 스레드는 다른 작업자 스레드가 상위 항목이 처리되었는지 확인하기 위해 대기했습니다. 이렇게 생성된 잠금 경합으로 인해 가져오기 속도가 크게 느려졌습니다. 이번 업데이트를 통해 LDIF 가져오기를 LMDB 데이터베이스를 통해 다시 만들고 공급자 스레드가 항목 RDN 및 해당 부모에 대한 데이터를 작업자 스레드가 항목을 빌드하는 데 사용하는 임시 데이터베이스에 저장합니다. 결과적으로 작업자 스레드 동기화가 더 이상 필요하지 않으며 평균 가져오기 속도가 향상됩니다.

재부팅 후 dirsrv 서비스가 올바르게 시작됨

이전에는 dirsrv 서비스가 systemd-tmpfiles-setup.service 가 완료될 때까지 명시적으로 기다리지 않았기 때문에 재부팅 후 dirsrv 서비스가 시작되지 않았습니다. 이로 인해 경쟁 조건이 발생했습니다. 이번 업데이트를 통해 dirsrv 서비스는 systemd-tmpfiles-setup.service 가 완료될 때까지 대기하고 재부팅 후 더 이상 시작되지 않습니다.

보안 매개변수 변경 사항이 올바르게 작동합니다.

이전 버전에서는 dsconf instance_name security set 명령을 사용하여 보안 매개변수를 변경하면 오류로 인해 작업이 실패했습니다.

GPO 기반 액세스 제어를 평가할 때 SSSD에서 sAMAccountName 사용

이전 버전에서는 ldap_user_name 이 AD 클라이언트에서 sAMAccountName 이외의 값으로 설정된 경우 GPO 기반 액세스 제어에 실패했습니다. 이번 업데이트를 통해 SSSD는 GPO 기반 액세스 제어를 평가할 때 sAMAccountName 을 항상 사용합니다. ldap_user_name 이 AD 클라이언트의 sAMAccountName 과 다른 값으로 설정되어 있어도 GPO 기반 액세스 제어가 올바르게 작동합니다.

SSSD에서 사용자를 검색할 때 user_attributes 옵션에서 중복 특성 처리

이전에는 sssd.conf 에 user_attributes 옵션에 중복 속성이 포함된 경우 SSSD에서 이러한 중복을 올바르게 처리하지 않았습니다. 결과적으로 해당 속성을 가진 사용자를 검색할 수 없었습니다. 이번 업데이트를 통해 SSSD에서 중복을 올바르게 처리합니다. 결과적으로 중복 특성이 있는 사용자를 검색할 수 있습니다.

동적 Kerberos PAC 티켓 서명 적용 메커니즘에서 IdM의 버전 간 비호환성 수정

이전 버전에서는 IdM(Identity Management) 배포에서 RHEL 9 및 RHEL 8 모두에서 실행되는 서버를 제공하는 경우 PAC(Privilege Attribute Certificate) 티켓 서명 지원의 업스트림 구현으로 인한 비호환성이 특정 작업이 실패했습니다. 이번 업데이트를 통해 RHEL 9의 동적 티켓 서명 적용 메커니즘 기능을 구현하면 이러한 상호 버전 비호환성이 수정되었습니다. 이 기능을 실제로 적용하려면 다음을 수행해야 합니다.

이제 FIPS 모드에서 SHA-1 서명 확인이 허용될 수 있습니다.

이전에는 IdM(Identity Management)이 FIPS 모드인 경우 SHA-1 서명 확인을 사용할 수 없었습니다. IdM은 SHA-1 서명을 허용하지 않는 FIPS-140-3 표준을 사용하기 때문입니다. 이 경우 AD(Active Directory) 상호 운용성에 문제가 발생했습니다. AD는 이전 FIPS-140-2 표준만 준수하므로 SHA-1 서명이 필요하기 때문입니다.

IdM 관리자 삭제는 더 이상 허용되지 않음

이전에는 admins 그룹의 멤버인 경우 IdM(Identity Management) 관리자 사용자를 삭제할 수 없었습니다. admin 사용자가 없으면 IdM과 AD(Active Directory) 간의 신뢰가 올바르게 작동하지 않습니다. 이번 업데이트를 통해 더 이상 admin 사용자를 삭제할 수 없습니다. 결과적으로 IdM-AD 신뢰가 올바르게 작동합니다.

ipa-kdb 가 더 이상 krb5kdc 가 실패하지 않음

이전에는 ipa-kdb 드라이버에서 서버 호스트 오브젝트와 연결 실패의 부재를 구분하지 않았습니다. 그 결과 LDAP 서버의 연결 문제로 생성된 NULL LDAP 컨텍스트로 인해 krb5kdc 서버가 예기치 않게 중지되는 경우가 있었습니다.

IdM 클라이언트 설치 프로그램에서 더 이상 ldap.conf 파일에 TLS CA 구성을 지정하지 않음

이전에는 IdM 클라이언트 설치 프로그램에서 ldap.conf 파일에 TLS CA 구성을 지정했습니다. 이번 업데이트를 통해 OpenLDAP는 기본 신뢰 저장소를 사용하고 IdM 클라이언트 설치 프로그램에서 ldap.conf 파일에 TLS CA 구성을 설정하지 않습니다.

이름에 혼합된 대소문자 문자가 포함된 경우 IdM 클라이언트는 신뢰할 수 있는 AD 사용자의 정보를 올바르게 검색

이전 버전에서는 사용자의 사용자 조회 또는 인증을 시도했고 신뢰할 수 있는 AD(Active Directory) 사용자에게 이름에 혼합된 케이스 문자가 포함되어 있고 IdM에서 재정의를 통해 구성된 경우 오류가 반환되어 사용자가 IdM 리소스에 액세스할 수 없었습니다.