8.11. IdM (Identity Management)
ipa-replica-manage
명령은 강제 복제 중에 nsslapd-ignore-time-skew
설정을 더 이상 재설정하지 않음
이전 버전에서는 ipa-replica-manage
force-sync
명령은 구성된 값과 관계없이 nsslapd-ignore-time-skew
설정을 off
로 재설정했습니다. 이번 업데이트를 통해 강제 복제 중에 nsslapd-ignore-time-skew
설정을 더 이상 덮어쓰지 않습니다.
Jira:RHEL-52300[1]
ipa idrange-add
명령은 모든 IdM 서버에서 Directory Server를 다시 시작해야 한다는 경고
이전에는 ipa idrange-add
명령에서 새 범위를 생성한 후 모든 IdM 서버에서 Directory Server(DS) 서비스를 다시 시작해야 한다고 경고하지 않았습니다. 결과적으로 관리자는 DS 서비스를 다시 시작하지 않고 새 범위에 속하는 UID 또는 GID를 사용하여 새 사용자 또는 그룹을 생성하는 경우가 있었습니다. 또한 새 사용자 또는 그룹에 SID가 할당되지 않았습니다. 이번 업데이트를 통해 모든 IdM 서버에서 DS를 다시 시작해야 한다는 경고가 명령 출력에 추가됩니다.
Jira:RHELDOCS-18201[1]
certmonger
가 숨겨진 복제본에서 KDC 인증서를 올바르게 갱신
이전에는 인증서가 만료될 때 certmonger
가 숨겨진 복제본에서 KDC 인증서를 갱신하지 못했습니다. 이는 갱신 프로세스가 숨겨진 복제본이 활성 KDC로 간주되기 때문에 발생했습니다. 이번 업데이트를 통해 숨겨진 복제본은 활성 KDC로 처리되고 certmonger
는 이러한 서버에서 KDC 인증서를 성공적으로 갱신합니다.
Jira:RHEL-39477[1]
AD 관리자는 IdM 복제본을 배포할 수 있습니다.
이전 버전에서는 RHEL IdM(Identity Management) 복제본을 설치하는 동안 제공된 Kerberos 주체에 사용자 ID 덮어쓰기를 확인하는 데 필요한 권한이 확장되지 않았는지 확인합니다. 결과적으로 필요한 권한으로 ID 재정의가 있는 AD 관리자의 자격 증명을 사용하여 복제본을 배포하는 동안 복제본 연결 검사가 실패했습니다.
이번 업데이트를 통해 필요한 권한이 있는 주체에 대한 ID 덮어쓰기가 추가되었는지 확인합니다. 결과적으로 IdM 관리자 역할을 수행하도록 구성된 AD 관리자의 인증 정보를 사용하여 복제본을 배포할 수 있습니다.
이 수정 사항은 ansible-freeipa
에도 적용됩니다.
Directory Server에서 더 이상 nsslapd-idletimeout
을 무시하지 않음
이전 버전에서는 비 Directory Manager 사용자가 연결이 열려 있는 경우 Directory Server에서 nsslapd-idletimeout
값을 무시하고 지정된 시간 후에 연결을 종료하지 않았습니다. 이번 업데이트를 통해 구성된 유휴 시간에 도달한 후 Directory Server가 예상대로 연결을 종료합니다.
Jira:RHEL-17511[1]
검색 작업에서 대규모 그룹을 더 빠르게 반환
이전 버전에서는 대규모 정적 그룹의 검색에서 uniquemember
특성과 일치하는 구성 요소가 포함된 필터를 사용하는 경우(예: '(uniquemember=uid=foo,ou=people,<suffix>)'
검색 속도가 느리고 CPU 집약적이었습니다. 이번 업데이트를 통해 검색 필터 평가 중에 Directory Server는 멤버 고유 이름(DN)이 정렬되어 대규모 그룹을 더 빠르고 적은 CPU 집약적인 내부 구조를 사용합니다.
Jira:RHEL-49454[1]
한 수준의 범위 검색에서 더 이상 하위 조건을 반환하지 않음
이전 버전에서는 -s
옵션으로 설정된 ldapsearch
명령을 실행할 때 검색 결과에 -b
옵션에 지정된 항목의 하위가 포함되지 않았습니다. 이번 업데이트를 통해 1단계 범위 검색에서 항목의 즉시 하위 항목을 성공적으로 반환합니다.
Referential Integrity 플러그인이 더 이상 서버 장애로 이어지지 않음
이전 버전에서는 지연된 검사와 함께 Referential Integrity 플러그인을 사용할 때 검사를 처리한 스레드가 종료 시 해제된 데이터 구조에 액세스할 수 있었기 때문에 서버 오류가 발생했습니다. 이번 업데이트를 통해 플러그인은 지연된 검사 스레드가 중지되고 오류가 발생하지 않을 때까지 더 이상 데이터 구조를 해제하지 않습니다.
dscreate ds-root
명령에서 상대 경로 허용
이전에는 루트가 아닌 사용자로 인스턴스를 만들고 상대 경로가 포함된 bin_dir
인수 값을 제공하려고 할 때 상대 경로가 defaults.inf
파일에 기록되어 인스턴스 생성에 실패했습니다. 이번 업데이트를 통해 상대 경로를 bin_dir
인수 값으로 제공하면 인스턴스가 성공적으로 생성됩니다.
LDIF 파일의 오프라인으로 가져오기가 올바르게 실행됨
이전에는 오프라인에서 캐시 자동 튜닝 작업을 가져오기 전에 트리거되지 않았습니다. 그 결과 ldif2db
스크립트에서 수행할 때 가져오기 작업이 느려졌습니다. 이번 업데이트를 통해 ldif2db
작업이 가져오기 성능을 높이기 전에 Directory Server에서 캐시 자동 튜닝을 트리거합니다.
dsconf 스키마 matchingrules list
명령으로 새로운 inchainMatch
일치 규칙을 표시함
이전에는 inchainMatch가 일치하는 구문 없이 등록되었기 때문에 dsconf
유틸리티에서 지원되는
일치 규칙을 일치하는 규칙 목록에 표시하지 않았습니다. 이번 업데이트를 통해 inchainMatch
inchainMatch
의 구문이 정의되고 dsconf 스키마 matchingrules list
명령을 실행하면 inchainMatch
가 목록에 표시됩니다.
IdM 클라이언트 설치 프로그램에서 더 이상 ldap.conf
파일에 TLS CA 구성을 지정하지 않음
이전에는 IdM 클라이언트 설치 프로그램에서 ldap.conf
파일에 TLS CA 구성을 지정했습니다. 이번 업데이트를 통해 OpenLDAP는 기본 신뢰 저장소를 사용하고 IdM 클라이언트 설치 프로그램에서 ldap.conf
파일에 TLS CA 구성을 설정하지 않습니다.