第40章 認証および相互運用性

軽量 CA の鍵取得に失敗した後にクラッシュが報告される

Identity Management (IdM) を使用する場合に、軽量の証明局 (CA) 鍵の取得に何らかの理由で失敗すると、操作は「Uncaught Exception」により予期せず失敗します。この例外が発生すると、クラッシュレポートが作成されます。(BZ#1478366)

誤設定がある場合には OpenLDAP によりプログラムが即座に中断される

以前のリリースでは、Network Security Services の Mozilla 実装 (Mozilla NSS) は、OpenLDAP スイートにおける特定の設定エラーに対して警告を発することはなく無視していました。このため接続確立時にのみプログラムが中断していました。今回の更新で OpenLDAP が Mozilla NSS から OpenSSL に変わり (BZ#1400578 のリリースノートを参照)、OpenSSL では TLS コンテキストが即座に確立されるので、プログラムはすぐに中断します。この動作により、機能していない TLS ポートを開放した状態にするなど、考えられるセキュリティーリスクを回避することができます。
この問題を回避するには、OpenLDAP 設定を確認して修正してください。(BZ#1515833)

CACertFile または CACertDir が無効な場所を参照している場合に OpenLDAP は失敗を報告する

以前のリリースでは、CACertFile または CACertDir オプションが読み取りまたは読み込みできない場所を参照している場合でも、Network Security Services の Mozilla 実装 (Mozilla NSS) は必ずしも誤設定と認識しませんでした。今回の更新で、OpenLDAP スイートが Mozilla NSS から OpenSSL に切り替わりました (BZ#1400578 のリリースノート参照)。OpenSSL では、CACertFile または CACertDir が無効な場所を参照している場合に、問題が警告を受けずに無視されることはなくなりました。
この問題を回避するには、誤設定のオプションを削除するか、読み込み可能な場所を参照していることを確認してください。
さらに OpenLDAP では、CACertDir が参照するコンテンツに対して、より厳密なルールが適用されるようになりました。このディレクトリーの証明書を使用してエラーが発生する場合には、ディレクトリーが不整合な状態になっている可能性があります。この問題を解消するには、このディレクトリーで openssl rehash コマンドを実行してください。
CACertFile および CACertDir の詳細については、ldap.conf(5)、slapd.conf(5)、slapd-config(5)、および ldap_set_option(3) man ページを参照してください。(BZ#1515918、BZ#1515839)

cn=config で矛盾する変更が加えられた後に OpenLDAP は TLS 設定を更新しない

今回の更新で、OpenLDAP は Network Security Services の Mozilla 実装 (Mozilla NSS) から OpenSSL に切り替えられました (BZ#1400578 のリリースノート参照)。OpenSSL では、cn=config データベースの TLS 設定に矛盾のある変更が加えられた場合には、サーバーの TLS プロトコルが中断し、設定が予想どおりに更新されません。この問題を回避するには、cn=config の TLS 設定を更新する場合に変更レコードを 1 つだけ使用してください。変更レコードの定義については、ldif(5) man ページを参照してください。(BZ#1524193)

突然 Identity Management が接続を終了する

Directory Server のバグにより、一定時間が経過した後に突然 Identity Management (IdM) が接続を終了し、以下のエラーメッセージと共に認証に失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、Red Hat Enterprise Linux 7.5 上にオフラインメディアから IdM をインストールした場合に発生します。問題を回避するには、yum update を実行して更新された 389-ds-base パッケージを取得して問題を解決してください。(BZ#1544477)

シャットダウン中に突然 Directory Server が終了する場合がある

Directory Server は nunc-stans フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられると、nunc-stans ジョブは開放された接続にアクセスしてしまいます。その結果、突然 Directory Server が終了する場合があります。この状況はシャットダウンプロセスの終盤に発生するので、データが破損したり失われたりすることはありません。現在のところ、回避策はありません。(BZ#1517383)

このページには機械翻訳が使用されている場合があります (詳細はこちら)。