Liberty バージョンのリリースノート

8.1.0

新機能

  • [bug 1490804] 監査 ID がトークン取消リストに含まれるようになりました。

セキュリティー上の問題

  • [bug 1490804] [CVE-2015-7546] PKI または PKIz トークンプロバイダーが使用されているときに、攻撃者がトークンの取り消しを回避できるバグが修正されました。この脆弱性に対する完全な修復には、keystonemiddleware プロジェクトの対応する修正が必要です。

8.0.1

新機能

  • ** 実験的 ** - ドメイン固有の設定オプションは、新しいREST APIを使用して、設定ファイルの代わりに SQL で保存することができます。

  • ** 実験的 ** - Keystoneは X.509 SSL クライアント証明書でトークンレス認証をサポートするようになりました。

  • 認証プロバイダー WebSSO 毎の設定がサポートされました。

  • ユーザーとプロジェクトのドメインをそれぞれマッピングするために、 openstack_user_domainopenstack_project_domain 属性が SAML アサーションに追加されました。

  • 資格情報リストの呼び出しは、資格情報の種別でフィルターされた結果を返すようになりました。

  • 安定したドライバーインターフェースを定義することにより、カスタムドライバのサポートが改善されました。

  • Fernet トークン、フェデレーション、データベースやロールの割り当てによるドメイン固有の設定など、幾つかの機能が強化されました。

  • keystone.conf の特定の変数には、ユーザーの設定が有効かどうかを判断するオプションがあります。

アップグレード時の注意

  • Juno で非推奨となった EC2 トークンミドルウェアは、もはや Keystone では使用できません。keystonemiddleware パッケージに移動しました。

  • Juno で非推奨となった compute_port 設定オプションは、もはや使用できません。

  • XML ミドルウェアのスタブは削除されているので、 keystone-paste.ini 設定ファイルから参照を削除する必要があります。

  • stats_monitoring と stats_reporting の貼り付けフィルタは削除されているので、 keystone-paste.ini 設定ファイルから参照を削除する必要があります。

  • ExternalDefault 、 ExternalDomain 、 LegacyDefaultDomain 、および LegacyDomain は Icehouse で非推奨となり、使用できません。

  • keystone.conf ファイルは、ドライバーのエントリーポイント名を参照するようになりました。 たとえば、ドライバは完全なモジュールパスではなく、 "sql"、 "ldap"、 "uuid"と指定されています。 他の例については、サンプルの設定ファイルを参照してください。

  • ファイルの代わりに keystone-manage コマンドのエントリーポイントを公開しました。

  • keystone-manage db_sync によるスキーマのダウングレードは、もはやサポートされません。アップグレードのみがサポートされます。

  • 以前のリリースで「拡張機能」だった機能(OAuth 委任、統合認証サポート、エンドポイントポリシーなど)は、デフォルトで有効になりました。

  • 新しい secure_proxy_ssl_header 設定オプションは、プロキシの背後で Keystone を実行するときに利用できます。

  • 幾つかの設定オプションが非推奨、名称変更、あるいは keystone.conf ファイルの新しいセクション移動になりました。

  • ドメイン名情報は、domain_name 属性を持つポリシールールで使用できるようになりました。

その他の注意点

  • イベントレットでの Keystone 実行は廃止され、 Mitaka リリースで削除されます。

  • プロジェクトやドメインなどのリソースバックエンドとしての LDAP の使用は非推奨となり、 Mitaka リリースで削除される予定です。

  • エントリーポイントを使用するため、ドライバークラスへのフルパスの使用は非推奨となりました。 Mitaka リリースでは、エントリーポイントを使用する必要があります。

  • keystone.conf ファイルの [resource] と [role] セクションでは、ドライバーを指定せずに割り当てドライバーの使用することは推奨されていません。 Mitaka リリースでは、リソースとロールのドライバーはデフォルトで SQL ドライバーになります。

  • keystone-paste.ini では、 paste.filter_factory の使用は廃止され、 "use" ディレクティブでエントリーポイントを指定します。

  • 既定のドメインが設定される、ドメインを指定しないユーザー、グループまたはプロジェクトの作成は非推奨となり、 N リリースで削除されまする。

  • 割り当て管理で廃止された特定のメソッドが削除され、[リソース]と[ロール]管理の同じメソッドが使用されました。