第23章 認証および相互運用性

keep alive エントリーのロギングレベルの変更

keep alive エントリーは、部分レプリケーションでスキップされた更新が複数回評価されないようにするために使用されます。大量の更新がスキップされた場合、これらのエントリーは大変頻繁に更新されます。また、各エントリーは更新前に存在の有無がテストされるため、一意のエントリーのみが作成されます。
これまで、このテストは Fatal レベルでログに記録されたため、フィルターで除去できない可能性がある不必要なメッセージによってエラーログが満杯になりました。この更新により、keep alive エントリーのロギングレベルが Fatal から Replication debugging (8192) に変更になり、エントリーをフィルターで除去できるようになりました (BZ#1314557)。

cleanAllRUV タスクが不適切な attrlist_replace エラーをログに記録しない

cleanAllRUV タスクのメモリー破損バグが原因で、attrlist_replace エラーが誤ってログに記録されました。このタスクは更新され、メモリーのコピーに異なる関数が使用されるようになったため、不適切なエラーメッセージがログに記録されないようになりました (BZ#1288229)。

接続オブジェクトのデッドロックが発生しない

これまで、不必要なロックが接続オブジェクトで取得されることがあり、これが原因でデッドロックが発生することがありました。不必要なロックを削除するためにパッチが適用されたため、デッドロックが発生しないようになりました (BZ#1278755)。

シンプルなページ結果検索の破棄リクエストによるクラッシュが発生しない

今回の更新が適用される前、破棄チェックの完了後に結果が完全に送信されなくても Directory Server はシンプルなページ結果の検索の破棄リクエストを受信することができました。この場合、結果の送信中に破棄リクエストが処理され、Directory Server がクラッシュする原因となりました。今回の更新により、結果の送信中に破棄リクエストが処理されないようにするロックが追加され、クラッシュが発生しないようになりました (BZ#1278567)。

失敗後にシンプルなページ結果の検索のスロットが正しくリリースされる

これまで、バックエンドでシンプルなページ結果の検索に失敗すると、シンプルなページ結果スロットがリリースされませんでした。そのため、シンプルなページ結果スロットが複数接続オブジェクトに累積されました。この更新により、検索に失敗するとシンプルなページ結果スロットが適切にリリースされるようになり、未使用のシンプルなページ結果スロットが接続オブジェクトに放置されないようになりました (BZ#1290242)。

DES から AES へのパスワード変更は cn=config 以外の接尾辞で手動で行う必要がある

Directory Server が起動すると、DES (Data Encryption Standard) アルゴリズムによって暗号化されたすべてのパスワードは、より安全な AES (Advanced Encryption Standard) アルゴリズムを使用するよう変換されます。これまで、DES で暗号化されたパスワードは内部のインデックスのない検索を使用して検出されましたが、大変大きなユーザーデータベースでは速度が遅く、場合によっては起動プロセスがタイムアウトし、Directory Server が起動しないことがありました。今回の更新では、設定接尾辞 cn=config のみが DES パスワードに対してチェックされるようになり、新しい slapi タスクの des2aes を使用できるようになりました。管理者は必要であれば、サーバーの起動後に des2aes を実行し、特定のデータベース上でパスワードを AES に変換できます。そのため、ユーザーデータベースの大きさに関係なくサーバーは起動します (BZ#1342609)。

バックエンドデータベースを削除してもデッドロックが発生しない

これまで、バックエンドの削除中にトランザクション情報がデータベースヘルパー関数の 1 つに渡されませんでした。そのため、プラグインがトランザクションによってロックされた領域にあるデータにアクセスしようとするとデッドロックが発生しました。この更新により、トランザクション情報が必要なすべてのデータベースヘルパー関数に渡されるようになり、デッドロックが発生しないようになりました (BZ#1273555)。

同じ LDAP 属性を削除および追加すると等価性インデックスが適切に更新される

これまで、ldapmodify コマンドを使用して異なる値の同じ LDAP 属性が削除されると、同じ操作中に 1 つ以上の属性値が再度追加され、等価性インデックスが更新されませんでした。そのため、再度追加された属性値の完全検索がエントリーを返しませんでした。インデックスコードの論理が変更され、エントリーの値の 1 つ以上が変更されると、再度追加された属性値の完全検索が正しいエントリーを返すようになりました (BZ#1290600)。

シンプルなページ結果検索の破棄リクエストによるデッドロックが発生しない

シンプルなページ結果検索の破棄リクエストに関連するバグ修正の一環として排他的接続ロックが追加されましたが、特定の状況下でこのロック自体がデッドロックを引き起こしました。今回の更新により、ロックが再入可能になり、簡単なページ結果の検索中にデッドロックが発生しないようになりました (BZ#1295947)。

シンプルなページ結果検索が 0 ではない実際の値を返す

SIZELIMIT_EXCEEDED などのエラーによって、接続のシンプルなページ結果スロットが破棄されると、破棄されたスロットが適切にクリーンアップされませんでした。このスロットを再使用した後続の検索は常に 0 を返しました。今回の更新により、破棄されたスロットが適切にクリーンアップされるようになり、スロットが再使用されても検索が適切な結果を返すようになりました (BZ#1331343)。

不足している pblock オブジェクトによって ACL プラグインがクラッシュしない

必要な権限を持たない bind ユーザーによって永続検索 (psearch) が実行されると、キャッシュのアクセス権限オブジェクトがリセットに失敗し、最初の pblock 構造を永続的な構造へ示すことができませんでした。そのため、pblock オブジェクトの不足によりアクセス制御リスト (ACL) プラグインがクラッシュする可能性がありました。今回の更新で最初のオブジェクトが永続構造にリセットされるようになり、このような状況で Directory Server がクラッシュしないようになりました (BZ#1302823)。

レプリケーション changelog が不適切に更新を省略しない

changelog イテレーターバッファーのバグにより、バッファーのリロード時に不適切な場所を示しました。これにより、レプリケーションが changelog の一部をスキップし、一部の変更がレプリケートされませんでした。このバグは修正され、誤ってリロードされた changelog バッファーが原因でレプリケーションのデータが損失しないようになりました (BZ#1321124)。

古いスキーマスタイルに単一引用符を用いて正しく使用できる

389-ds-base パッケージは、バージョン 1.3.2 から RFC 4512 に記載されているスキーマ定義に対応するようになりましたが、このスキーマ定義は旧式バージョンによるスキーマの使用を許可しません。旧バージョンからの移行を容易にするため、nsslapd-enquote-sup-oc パラメータが導入されましたが、このパラメーターの実装には単一引用符で囲まれた以下のような旧式のスキーマスタイルを処理できないバグが含まれていました。
SYNTAX oid
このバグは修正されたため、旧式のスキーマスタイルに単一引用符を使用できるようになりました。
さらに、今回の更新により、スキーマディレクトリーの旧式スキーマスタイルへのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTES 環境変数が導入されました。この機能を有効にするには、以下の変数を /etc/sysconfig/dirsrv-INSTANCE 設定ファイルに設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1303641)

DES から AES へのパスワード変換が適切に動作する

Red Hat Enterprise Linux 7.1 から 7.2 へのアップグレード中、Reversible Password Plug-in によって使用される暗号アルゴリズムが DES から AES に変更されました。Directory Server は、アップグレード時に自動的にすべてのパスワードを新しいアルゴリズムに変換します。しかし、定義されたバックエンドにトップエントリーがないと、パスワードの変換が error 32 で失敗します。また、変換に失敗しても 389-ds-baseDES プラグインを無効にするため、既存のパスワードのデコードに失敗します。
このバグは修正され、バックエンドで変換するパスワードを検出するときに 389-ds-base がエラーを無視するようになり、すべてのパスワードが AES に変換された後でのみ DES プラグインが無効になるようになりました (BZ#1320715)。

Keep-alive エントリーがレプリケーションを中断しない

これまで、レプリケーション中に keep-alive エントリーが作成される機会が多すぎたため、エントリーを changelog のレプリカに追加するときに競合が発生する可能性があり、レプリケーションから操作が放棄されることがありました。今回の更新では、keep-alive エントリーが不必要に作成されなくなり、keep-alive エントリーによってレプリケーション中に操作が放棄されないようになりました (BZ#1307151)。

失敗したレプリケーションの更新が次のセッションで正しく再試行される

コンシューマー側でレプリカの更新に失敗し、後続の別の更新は成功した場合、コンシューマーのレプリケーション状態は成功した更新が適用されたため、コンシューマーはその状態が最新であると認識しました。そのため、失敗した更新は再試行されず、データ損失の原因となりました。今回の更新では、レプリケーションの失敗によって接続が閉じられ、レプリケーションのセッションが停止されるようになりました。これにより、後続の更新によってコンシューマーのレプリケーション状態が変更されないようになったため、サプライヤーが次のセッションで失敗した操作を再試行できるようになり、データが損失しないようになりました (BZ#1310848)。

LICENSE ファイルで正しいライセンス情報が表示される

これまで、rpm -qi 389-ds-base コマンドは不適切な License フィールドに古いライセンス GPLv2 with exceptions を表示しました。この問題は修正され、389-ds-base パッケージは LICENSE ファイルに正しいライセンス情報 (GPLv3+ ライセンス) を提供するようになりました (BZ#1315893)。

管理者がリセットしたパスワードがパスワード履歴に保存される

これまで、管理者がユーザーパスワードをリセットすると、古いパスワードはユーザーのパスワード履歴に保存されませんでした。そのため、ユーザーはリセット後に同じパスワードを再使用することができました。今回の更新では、管理者が手動でリセットしたパスワードがパスワード履歴に保存されるようになったため、ユーザーは別のパスワードを使用する必要があります (BZ#1332709)。

複数のプラグインによって拒否されたエントリーが検索で表示されない

エントリーが同時に複数のバックエンドトラザクションプラグイン (Auto MembershipManaged Entry など) によって拒否されると、エントリーキャッシュが不整合な状態になりました。そのため、検索が追加されていないエントリーを返す可能性がありました。今回の更新では、 add 操作に失敗したときにエントリーの識別名 (DN) を保存するエントリーキャッシュが適切にクリーンアップされるようになり、拒否されたエントリーは ldapsearch によって返されなくなりました (BZ#1304682)。

オプションを指定せずに db2index を実行してもレプリケーションが失敗しない

db2index スクリプトをオプションなしで実行すると、ディスク上の Replica Update Vector (RUV) エントリーに親エントリーがないため、スクリプトは RUV エントリーを処理できませんでした。既存の RUV はスキップされ、新しい RUV が生成されましたが、ID の不一致により次のレプリケーションに失敗しました。今回の更新により、db2index の RUV エントリーの処理が修正され、オプションを指定せずにこのスクリプトを実行してもレプリケーションに失敗しないようになりました (BZ#1340307)。

ビジー状態のデータベースを削除しようとしても Directory Server がクラッシュしない

インポートの実行中にコンソールを使用してバックエンドデータベースを削除しようとすると、Directory Server がクラッシュしました。今回の更新では、削除スクリプトが最初にバックエンドがビジー状態であるかどうかをチェックするようになり、安全に削除できる場合のみ削除を実行するようになりました。そのため、このような状況で Directory Server がクラッシュしないようになりました (BZ#1355760)。

複製 ID のエラーによってコンシューマーのマスターへの昇格が失敗しない

コンシューマーインスタンスがマスターに昇格されると、Replica Update Vector (RUV) の最後に新しい要素が追加されました。しかし、新たに昇格されたマスターからレプリケートを実行しようとすると、RUV の最後の要素ではなく最初の要素がチェックされ、ID の重複によりレプリケーションセッションが停止しました。今回の更新では、レプリカからマスターへの昇格時に RUV の順序が変更され、レプリカだったマスターからのレプリケーションに失敗しないようになりました (BZ#1278987)。

nsslapd が適切に作業ディレクトリーを設定

バグ修正によって発生した不具合が原因で、systemd によって起動されるとデフォルトで nsslapd が作業ディレクトリーの設定をスキップしました (nsslapd-workingdir 属性)。このバグは修正され、起動中に作業ディレクトリーが設定されるようになりました (BZ#1360447)。

IdM アップグレードスクリプトが正常に実行される

IdM (Identity Management) サーバーアップグレードスクリプトがバージョンの変更を検出しませんでした。そのため、IdM サーバーのアップブレードに失敗しました。このバグは修正され、アップグレードが正常に行われるようになりました . (BZ#1290142)。

libkadm5* ライブラリーが libkadm5 パッケージに移動

Red Hat Enterprise Linux 7.3 では、libkadm5* ライブラリーが krb5-libs から libkadm5 パッケージに移動しました。そのため、yumkrb5-libs パッケージを自動的にダウングレードできません。ダウングレードする前に手作業で libkadm5 パッケージを削除します。
# rpm -e --nodeps libkadm5
このパッケージを手作業で削除したら、yum downgrade コマンドを使用して krb5-libs パッケージを前のバージョンにダウングレードします (BZ#1347403)。

シングルサインオンが信頼する複数の AD フォレストルートドメインと動作する

IdM (Identity Management) がお互いを信頼する 2 つの AD (Active Directory) フォレストへの信頼を確立し、IdM がこれら 1 つの DNS サブドメインで設定されると、別の AD フォレストによって IdM と AD 間の名前接尾辞ルーティングの競合が報告されました。そのため、IdM と名前ルーティングの競合を特定した AD フォレストとの間のシングルサインオンが失敗しました。信頼を確立すると、プロシージャーがこのような競合を検出するようになりました。信頼の確立中に AD 管理者クレデンシャルを提供すると、除外エントリーが自動的に作成され、名前接尾辞ルーティングの競合が解決されます。そのため、IdM が AD フォレストの DNS サブドメインにデプロイされてもシングルサインオンが想定どおりに動作するようになりました (BZ#1348560)。

Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードが一部の multilib SSSD パッケージによって失敗しない

SSSD (System Security Services Daemon) の一部として提供される sssd-common および sssd-krb5-common パッケージは複数のアーキテクチャーをサポートしないようになりました。これまでは、これらのパッケージが 32 ビットと 64 ビットの両方のバージョンにインストールされると、Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗しました。この問題を修正するため、32 ビットの sssd-common および sssd-krb5-common が Red Hat Enterprise Linux 7.3 から削除されました。これにより、正常に更新を行えます (BZ#1360188)。

OpenLDAP が適切に NSS を設定

これまで、OpenLDAP サーバーはネットワークセキュリティー設定 (NSS) コードを誤って処理しました。そのため、設定は適用されず、olcTLSProtocolMin などの一部の NSS オプションが正しく動作しませんでした。今回の更新によってバグが修正され、影響があった NSS オプションが想定どおり動作するようになりました (BZ#1249093)。

Kerberos をスマートカードで使用したときに sudo コマンドが適切に動作する

これまで、pam_krb5 モジュールはフォーク操作中に多くのファイル記述子を閉じました。そのため、/etc/passwd ファイルの最初の 4096 文字以内でパスワードエントリーが 見つからないと、Kerberos とスマートカードを使用したユーザー認証の sudo コマンドに失敗しました。このバグは修正され、nsswitch などのライブラリーはファイル記述子を使用できるようになり、sudo が適切に動作するようになりました (BZ#1263745)。

Certificate System が CSR の PKCS#10 のサポートを修復

Certificate System のインストール中に生成され、外部署名された証明書が含まれる CSR (証明書署名リクエスト) に、一部の認証局が必要とする PKCS#10 拡張が含まれていませんでした。今回の更新では、Certificate System が基本制約やキー使用の拡張およびオプションのユーザー定義拡張を含むデフォルトの拡張で CSR を作成するようになりました (BZ#1329365)。

IPv6 専用インストールで IdM CA サービスが正しく起動

IPv6 専用で設定されたシステムでは、IdM (Identity Management) のインストール中に pki-tomcat サービスが誤って IPv4 ループバックデバイスにバインドされました。そのため、CA (認証局) サービスが起動しませんでした。IPv6 プロトコルのみが設定されているシステムで IdM 設定が IPv6 ループバックデバイスにバインドするようになり、CA サービスが適切に起動するようになりました (BZ#1082663)。

pki コマンドが失効の詳細を表示

この更新により、pki のサブコマンドである cert-show および cert-find が以下を含む失効した証明書の情報を表示するようになりました。
  • revocation date (失効日)
  • revoked by (BZ#1224382)

ipa-replica-install --setup-dns が DNS にすでに存在する DNS 名の DNS ゾーンを作成しない

ipa-replica-install ユーティリティーで --setup-dns オプションを使用すると、別の DNS 名 サーバーにプライマリー IdM (Identity Management) ドメイン名と同等の DNS ゾーンがすでに存在しても、このような DNS ゾーンと IdM サーバーのゾーン名を常に作成しました。そのため、複数の DNS サーバーが誤ってドメインの権威サーバーとして動作するとクライアント側で特定の問題が発生しました。これを修正するため、DNS名 ゾーンがすでに別の DNS サーバーに存在する場合は IdM が DNS ゾーンを作成しないようになりました。IdM インストーラーは適切に競合を検出し、競合する場合はインストールに失敗します (BZ#1343142)。

idmap_hash モジュールが他のモジュールと使用されたときに適切に動作する

idmap_hash モジュールが他のモジュールと使用されると適切に動作しませんでした。そのため、ユーザーおよびグループ ID が適切にマップされませんでした。すでに設定されたモジュールをスキップするため、パッチが適用されました。hash モジュールをデフォルトの idmap 設定バックエンドとして使用できるようになり、ID が適切に解決されるようになりました。 (BZ#1316899)

CA と netHSM との接続の切断時に CRL が生成するメッセージの量を削減

CA と Thales netHSM との接続が切断されると、HSM や LDAP などの依存コンポーネントが利用できないため、CRL 生成の途中でループに陥ることがありました。そのため、CA が再起動されるまで大量のデバッグログメッセージが生成されました。今回の更新により、ループの速度を遅くする修正が提供され、このような状況で生成されるデバッグメッセージの量が大幅に削減されました (BZ#1308772)。

Gemalto Safenet LunaSA (HSM) でインストールされても KRA がキーのリカバリーに失敗しない

これまで、Gemalto Safenet LunaSA HSM (ハードウェアセキュリティーモジュール) にインストールされていると Red Hat Certificate System の key recovery authority (KRA) サブシステムがキーをリカバリーできませんでした。パッチが適用され、HSM が 非 FIPS モードに設定されているとリカバリーが想定どおり動作するようになりました (BZ#1331596)。

Directory Server のプロセスサイズの縮小と安定化

これまで、Directory Server は glibc ライブラリーに提供されるデフォルトのメモリーアロケーターを使用しました。このアロケーターは Directory Server の malloc() および free() パターンの処理には不十分でした。そのため、ディレクトリーサーバーのメモリー使用量が大変多くなることがあり、OOM (Out of Memory) Killer によって ns-slapd プロセスが Kill される可能性がありました。今回の更新では、Directory Server が tcmallocメモリーアロケーターを使用するようになり、 Directory Server のプロセスサイズが大幅に縮小され、安定性が改善されました (BZ#1186512)。

pin.txt ファイルが見つからないときに ns-slapd が適切に pin を要求

systemd389-ds-base が使用を試みる標準入力および出力をキャプチャーするため、これまでのリリースでは pin.txt ファイル見つからない場合に 389-ds-base はピンを要求するプロンプトを表示しませんでした。今回の更新では、起動中に systemd がシステムで実行されているかどうかを 389-ds-base が検出し、適切な systemd API を使用して必要な場合にパスワードを要求するようになりました。そのため、Directory Server は pin.txt ファイルがなくても起動できるようになり、管理者は nssdb パスワードをシステムから隔離できます (BZ#1316580)。

レプリケーションアグリーメントの更新状態にレプリケーションアグリーメントの失敗に関する詳細が含まれる

エラーの発生後、レプリケーションアグリーメント (Replication Agreement) の更新状態は汎用メッセージのみを表示したため、レプリケーションアグリーメントのトラブルシューティングが困難でした。今回の更新により、更新状態にエラーメッセージの詳細が含まれるようになりました。そのため、レプリケーションアグリーメントの更新の失敗がすべて適切および正確にログに記録されるようになりました (BZ#1370300)。

IdM が使用するデフォルトのロックテーブルサイズの値が大きい

これまで、IdM (Identity Management) データベースのロックの数が少なすぎました。そのため、グループメンバーシップ属性を大量に更新できないことがありました。この問題に対応するため、デフォルトのロックテーブルサイズが 10000 から 100000 に変更されました。この変更により、グループメンバーシップ属性を大量に更新できるようになりました (BZ#1196958)。

ipa-server-certinstall コマンドが外部署名された証明書をインストールできる

これまで、ipa-server-certinstall コマンドを使用して外部署名された証明書をインストールすると以下の問題が発生しました。
  • Certificate System で以前の証明書の追跡が解除されなかった。
  • 新しい外部証明書は Certificate System によって追跡された。
  • NSS データベースで最初に見つかった証明書が使用された。
新しい証明書が外部の認証局によって署名された場合、ipa-server-certinstall コマンドは LDAP および Web サーバーの新しい証明書をインストールできず、サービスを起動できませんでした。このコマンドは修正され、IdM (Identity Management) CA によって発行された証明書のみを追跡するようになりました。そのため、新しい証明書は正しくインストールされるようになり、このような状況で LDAP や Web サーバーが起動に失敗しないようになりました (BZ#1294503)。

default_domain_suffix が設定されている場合や完全修飾名が含まれている場合に sudo ルールが正しく動作する

これまで、sudoユーティリティーは以下の状況で sudo ルールを正しく評価しませんでした。
  • /etc/sssd/sssd.conf ファイルで default_domain_suffix オプションが使用された場合。
  • sudo ルールが完全修飾ユーザー名を使用した場合。
そのため、sudo ルールが動作しませんでした。 今回の更新では、SSSD (System Security Services Daemon) が sudo ルールを変更するようになり、このような場合で sudo が適切にルールを評価するようになりました (BZ#1300663)。

プロキシー設定を SSSD デフォルト設定ファイルから削除

SSSD (System Security Services Daemon) の /usr/lib64/sssd/conf/sssd.conf デフォルト設定ファイルは自動設定されたドメインで使用され、/etc/passwd および /etc/groups ファイルへのリクエストをすべてプロキシーしました。このプロキシー設定は、realmdipa-client-install などのその他のユーティリティーを統合できませんでした。これを修正するため、[domain/shadowutils] プロキシー設定が削除され、SSSD が適切に動作するようになりました (BZ#1369118)。

sss_override ユーティリティーの show、find、export 操作が正しく動作する

Red Hat Enterprise Linux 7.3 に SSSD (System Security Services Daemon) へのローカルオーバーライドが導入されました。発生した不具合により、-n オプションを指定せずにオーバーライドが作成されると、sss_override コマンドに失敗しました。このバグは修正され、sss_override が正しく動作するようになりました (BZ#1373420)。

IdM にユーザーのホームディレクトリーがなくても ipa コマンドを実行できる

これまで、IdM (Identity Management) がホームディレクトリーの ~/.cache/ipa にキャッシュディレクトリー作成できないと、すべての ipa コマンドに失敗しました。この問題は、ユーザーのホームディレクトリーがない場合などに発生しました 。今回の更新により、IdM がキャッシュを作成したり、アクセスできなくても IdM が継続して動作するようになりました。このような場合、すべてのメタデータを繰り返しダウンロードする必要があるため、ipa コマンドの完了に時間がかかることがあります (BZ#1364113)。

IdM コマンドラインインターフェースのヘルプを表示する時間が短縮

--help オプションを使用して ipa ユーティリティーを実行すると、ipa がプラグインやコマンドから必要な情報を収集します。これまで、プラグインとコマンドは Python モジュールでした。本リリースでは、サーバーからダウンロードしたスキーマを基に ipa がプラグインとコマンドを生成します。
そのため、ヘルプにトピックやコマンドが含まれると、以前のバージョンの IdM (Identity Management) よりもヘルプの表示に大変時間がかかることがありました。このバグは修正され、--help を指定して ipa を実行するために必要な時間が短縮されました (BZ#1356146)。

サーバー上で以前のバージョンの IdM を使用してコマンドを実行する時間が短縮

IdM バージョン 4.4 を実行している IdM (Identitiy Management) クライアントのユーザーがコマンドを実行すると、IdM はクライアントがコンタクトするサーバーが新しいコマンドスキーマをサポートするかどうかをチェックします。この情報はキャッシュされないため、クライアントがサーバーにコンタクトするたびにチェックが行われます。そのため、以前のバージョンの IdM を実行しているサーバー上でコマンドを実行するために必要な時間が長くなりました。IdM 4.4 で導入された新しいコマンドを実行すると、サーバーがコマンドを認識しなかったため、操作が完了しないように見受けられました。このバグは修正され、このような状況で IdM コマンドを実行しても時間がかからないようになりました (BZ#1357488)。

信頼できる AD フォレストのツリールートドメインがフォレストルートで到達可能

AD (Active Directory) フォレストにツリールートドメイン (個別の DNS名 ドメイン) が含まれると、IdM (Identity Management) が認証リクエストをツリールートドメインのドメインコントローラーに正しくルーティングできないことがありました。そのため、ツリールートドメインのユーザーは IdM でホストされるサービスに対して認証されませんでした。今回の更新ではこのバグが修正され、このような状況でツリールートドメインのユーザーが想定どおり認証されるようになりました (BZ#1318169)。

IdM web UI が想定どおりサブ CA によって発行される証明書を表示

CA (認証局) によって発行される証明書を表示するため、IdM web UI は ipa cert-find コマンドを使用して CA 名をクエリーした後、ipa cert-show コマンドを使用します。これまで、ipa cert-show は CA 名を使用しませんでした。そのため、web UI のエラーにより、サブ CA によって発行された証明書の詳細ページの表示に失敗しました。このバグは修正され、web UI が想定どおり証明書の詳細ページを表示するようになりました (BZ#1368424)。

certmonger が IdM サブ CA からの証明書をリクエスト

certmonger サービスは不適切な API 呼び出しを使用して IdM サブ CA (サブ認証局) から証明書をリクエストしました。そのため、サブ CA の設定は無視され、証明書が常に IdM ルート CA から発行されました。今回の更新によりこのバグが修正され、想定どおりに certmonger が IdM サブ CA から証明書をリクエストするようになりました (BZ#1367683)。

カスタムキーを使用した IdM OTP トークンの追加が想定どおり動作する

--key オプションを指定して ipa otptoken-add コマンドを実行し、新しいワンタイムパスワード (OTP) トークンを追加すると、IdM (Identity Management) コマンドラインがユーザー提供のトークンキーを不適切に変換しました。そのため、IdM で作成された OTP トークンは無効となり、OTP トークンを使用した認証に失敗しました。今回の更新ではこのバグが修正されたため、このような状況で作成された OTP トークンは有効になります (BZ#1368981)。

EE ページを使用して Administrator Certificate を web ブラウザーにインポートできる

EnrollSuccess.template を使用して Certificate System Administrator Certificate を web ブラウザーにインポートすると以下エラーが発生してインポートに失敗しました。
Error encountered while rendering a response.
今回の更新では、以下の手順に従って証明書をインポートできます。
1. pki-tomcatd サービスを停止します。
systemctl stop pki-tomcatd@pki-tomcat.service
2. /etc/pki/pki-tomcat/ca/CS.cfg ファイルを編集し、以下が含まれるようにします。
ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true
3. pki-tomcatd サービスを開始します。
systemctl start pki-tomcatd@pki-tomcat.service
4. 新しい Firefox プロファイルを作成します。
5. EE (End Entity) ページに移動し、Retrieval タブを選択します。
6. CA 証明書をインポートし、信頼できる証明書として設定します。
7. 新しい Firefox プロファイル内で https://pki.example.com:8443/ca/admin/ca/adminEnroll.html に移動し、フォームを入力します。
8. 新しい Administrator Certificate ソースが生成されます。これを新しい Firefox プロファイルにインポートします。
証明書が正しくインポートされたことを確認するには、Agents ページに移動します (BZ#1274419)。