Newton バージョンのリリースノート

10.0.3

セキュリティー上の問題

  • [bug 1703369] 以前のリリースのデフォルトの policy.json ファイルには、identity:get_identity_provider ルールにタイプミスがありました。そのルールのデフォルト値はデフォルトルールのデフォルト値(adminに制限されています)と同じで、このタイプミスが容易には判明しませんでした。このルールをカスタマイズしたら、設定を確認して、そのタイプミスをコピーしていないことを確認する必要があります。このバックポートの目的に関する詳細は、バグレポートに記載されています。

Bug Fixes

  • [bug 1616424] Python のビルドインの例外は、無効なリクエストパラメータを持つクライアントからの要求トークンまたはアクセストークンの作成要求、例えば無効な署名などの場合に発生しました。適切な例外を表示し、存在する場合は失敗の理由を表示することによって、実装が強化されます。

  • [bug 1689616] 膨大なデータセットに対してトークンフラッシュを実行するときの、重要な改善が行われました。

  • [bug 1687593] OAUTH1 要求トークンを作成するときの要求を行うために使用される URL が、要求トークンを検証する URL でもあることを確実にしました。

  • [bug 1571878] フェデレーションプロトコルを作成または更新するときは、有効な mapping_id が必要になります。 mapping_id が存在しない場合、 400 - Bad Request が返されます。

10.0.1

新機能

  • [bug 1638603] Active Directory のネストされたグループをサポートします。新しいブール値のオプション [ldap] group_ad_nesting が追加され、デフォルトは False です。このオプションは、ネストされたグループのある Active Directory を使用可能にします。このオプションは、 list_users_in_grouplist_groups_for_user、および check_user_in_group 操作に影響します。

10.0.0

紹介

ドメイン固有の LDAP バックエンドが使用されるときに使用される keystone-manage mapping_populate コマンドを追加しました。

トークンは発行された時にキャッシュされるようになりました。

新機能

  • [blueprint manage-migration] Keystone の新しいバージョンへのアップグレードは、 keystone-manage db_sync コマンドの --expand、` --migrate`、 --contract オプションを使用して、ローリングアップグレードとして実行できるようになりました。

  • OSprofiler サポートが追加されました。 このプロジェクト間プロファイリングライブラリは、これをサポートするすべての OpenStack サービスのさまざまなリクエストをトレースすることを可能にします。 OpenStack リクエストトレースを開始するには、 --profile <HMAC_KEY> オプションを CLI コマンドに追加する必要があります。 設定と使用の詳細は、[`` OSProfiler documentation <http://docs.openstack.org/developer/osprofiler/api.html> `_] を参照してください。

  • [bug 1501698] 認証バックエンドに LDAP を使用した時の list_limit パラメーターがサポートされました。

  • keystone-manage mapping_populate コマンドを追加しました。 このコマンドは、以降のクエリーのパフォーマンスを向上させるために、LDAP のすべてのユーザーをマッピングテーブルをにあらかじめ入力します。 これは、 LDAP が最初に設定されたとき、あるいは keystone-manage mapping_purge を呼び出した後に、ドメインに関連するクエリーが作成される前に使用されるべきです。 詳細は keystone-manage mapping_populate --help を参照してください。

  • 発行されたトークンを検証キャッシュに置くことを可能にする cache_on_issue``フラグが ``[token] セクションに追加され、トークンがすでに検証され、これは、トークンがすでに検証され、トークンデータがキャッシュされているかのように、最初の検証時間を短縮します。

アップグレード時の注意

  • password_expires_at 属性をユーザーのレスポンスオブジェクトに追加しました。

  • 認証バックエンドドライバーインターフェースが変更されました。 セルフサービスのパスワードを変更するための新しい change_password() メソッドを追加しました。認証ドライバーのカスタム実装がある場合は、この新しいメソッドを実装する必要があります。

  • OSprofiler のサポートが導入されました。これを使用可能にするには、 keystone-paste.ini ファイルを osprofiler ミドルウェアを使用するように編集する必要があります。

  • パスワード作成日時に関連するバグが修正されました。Newton 開発の間にマスターをデプロイした場合は、パスワード作成日時がリセットされます。これは、セキュリティ保証機能を有効にしている場合に実施されます。

  • poicy.json ファイルの identity:list_projects_for_groupsidentity:list_projects_for_user に変更しました。同様に、 identity:list_domains_for_groups を`identity:list_domains_for_user` に変更しました。 policy.jsonファイルをカスタマイズした場合は、これらの変更を行う必要があります。 これはフェデレーションの新しい機能をよりよくサポートするために行われました。

  • Keystone は REST での暗号化された資格情報をサポートしています。 Newton に正常にアップグレードするためには、デプロイヤーは、データベースの縮小フェーズの前に、現在保管されているすべての資格情報を暗号化する必要があります。 デプロイヤーは、 Newton 内で資格情報 API を使用するために keystone-manage credential_setup を実行するか、 Mitaka から Newton へのアップグレードを完了する必要があります。 これにより、認証情報 API のサービス停止が発生し、資格情報はアップグレード処理中に読み取り専用になります。 データベースを縮小すると、資格情報は再び書き込み可能になります。 データベース縮小フェーズは、ローリングアップグレードにのみ適用されます。

  • Keystone は python-ldap ではなく pyldap を使用するようになりました。 pyldap ライブラリは python-ldap のフォークであり、 py3 と互換性があるように変更されています。

廃止予定の機能

  • [blueprint domain-config-as-stable] keystone-manage domain_config_upload は非推奨になりました。 Keystone チームは、代わりに API を介してドメイン設定オプションを設定することを推奨します。 domain_config_upload コマンドラインオプションは 'P' リリースで削除される予定です。

  • [blueprint deprecated-as-of-newton] Newton リリースでは、クラスプラグイン keystone.common.kvs.core.KeyValueStore は非推奨になりました。代わりのバックエンドを使用することをお勧めします。 KeyValueStore クラスは 'P' リリースで削除されます。

Bug Fixes

  • [bug 1590587] ドメイン固有のロールを割り当てるときは、ロールのドメインとプロジェクトのドメインが一致する必要があります。現在、これが検証されており、 REST 呼び出しは 403 Forbidden を返します。

  • [bug 1594482] list_limit 設定オプションを使用すると、 GET /services?name={service_name} API が最初にリストを切り捨ててから、名前でフィルタリングしていました。 API は最初に名前でフィルタリングするように修正され、その後、結果リストを目的の制限で切り捨てます。

  • [bug 1613466] プロジェクト ID が設定されていない資格情報が ec2 タイプの資格情報に更新されると、その資格情報を使用するときにエラーになります。この動作はブロックされており、プロジェクト ID を持たない ec2 以外の認証情報を作成して、それをプロジェクト ID を指定せずに ec2 に更新すると、 400 Bad Request エラーが発生します。

その他の注意点

  • リクエストトークンまたはアクセストークンを作成するためのレスポンスのコンテンツタイプが application/x-www-form-urlencoded に変更され、古い値の application / x-www-urlformencoded は無効になり、使用されなくなりました。

  • Keystone は Python 3 での動作をサポートしています。 Python3 および Python 3.4 分類子が追加されました。

  • [blueprint removed-as-of-newton] keystone.contrib.endpoint_policy からバックエンドとルートを削除しました。このパッケージは keystone.endpoint_policy に移動しました。これは Liberty リリースで非推奨になりました。

  • [blueprint removed-as-of-newton] イベントレット配下での Keystone の実行のサポートが削除されました。 HTTP サーバーでの Keystone の実行が推奨されています。

  • [blueprint removed-as-of-newton] keystone.revoke.corerevoke_by_expiration メソッドを削除しました。 これは Juno リリースで非推奨になりました。