8.13. IdM (Identity Management)
ipa user-del --preserve user_login 출력은 더 이상 사용자가 삭제되었음을 표시하지 않습니다.
이전에는 ipa user-del --preserve user_login 명령을 실행하여 사용자 계정을 유지하는 경우 출력에서 Deleted 사용자 "user_login" 메시지를 잘못 반환했습니다. 이번 업데이트를 통해 이제 출력에 Preserved 사용자 "user_login" 이 반환됩니다.
RHEL 9 Kerberos 클라이언트 - 이기종 KDC 시나리오에서 PKINIT 사용자 인증이 올바르게 작동합니다.
이전에는 RHEL 9 Kerberos 클라이언트에서 Heimdal Kerberos Distribution Center(KDC)에 대해 IdM 사용자의 PKINIT 인증이 실패했습니다. 이 오류는 Kerberos 클라이언트가 RHEL 9에서 SHA-1 알고리즘의 사용 중단 컨텍스트에 필요한 supportedCMSTypes 필드를 지원하지 않기 때문에 발생했습니다.
이번 업데이트를 통해 RHEL 9 Kerberos 클라이언트는 sha512WithRSAEncryption, sha256WithRSAEncryption as supportedCMSTypes 를 비롯한 서명 알고리즘 목록을 Heimdal KDC로 보냅니다. Heimdal KDC는 sha512WithRSAEncryption 을 사용하므로 PKINIT 인증이 올바르게 작동합니다.
LDAP 그룹 멤버 목록에서 읽을 수 없는 오브젝트 처리
이번 업데이트 이전에는 SSSD에서 LDAP 그룹 멤버 목록에서 읽을 수 없는 오브젝트를 일관되지 않게 처리하여 읽을 수 없는 오브젝트를 유발하거나 특정 상황에서 읽을 수 없는 오브젝트가 무시되었습니다.
이번 업데이트를 통해 SSSD에는 이 동작을 수정하는 새로운 옵션 ldap_ignore_unreadable_references 가 있습니다. ldap_ignore_unreadable_references 옵션이 false 로 설정된 경우 읽을 수 없는 오브젝트로 인해 오류가 발생하고, 읽을 수 없는 오브젝트로 설정되면 읽을 수 없는 오브젝트가 무시됩니다. 기본값은 false 로 설정되고 원래의 일관성 없는 동작으로 인해 업데이트 후 일부 그룹 조회가 실패할 수 있습니다. 이 경우 /etc/sssd/sssd.conf 파일에 있는 해당 [domain/name of the domain] 섹션에 ldap_ignore_unreadable_references = True 를 설정합니다.
이렇게 하면 읽을 수 없는 오브젝트를 일관된 방식으로 처리할 수 있으며 새로운 ldap_ignore_unreadable_references 옵션을 사용하여 동작을 조정할 수 있습니다.
