6.4.10. Gestión de la identidad
FreeRADIUS ahora resuelve nombres de host que apuntan a direcciones IPv6
En versiones anteriores de RHEL 8 de FreeRADIUS, la utilidad ipaddr sólo soportaba direcciones IPv4. En consecuencia, para que el demonio radiusd resolviera las direcciones IPv6, se requería una actualización manual de la configuración después de una actualización del sistema de RHEL 7 a RHEL 8. Esta actualización corrige el código subyacente, e ipaddr en FreeRADIUS ahora también utiliza direcciones IPv6.
El servicio Nuxwdog ya no falla al iniciar el servidor PKI en entornos HSM
Anteriormente, debido a errores, el paquete keyutils no se instalaba como dependencia del paquete pki-core. Además, el servicio Nuxwdog watchdog fallaba al iniciar el servidor de la infraestructura de clave pública (PKI) en entornos que utilizan un módulo de seguridad de hardware (HSM). Estos problemas se han solucionado. Como resultado, el paquete keyutils requerido se instala ahora automáticamente como una dependencia, y Nuxwdog inicia el servidor PKI como se espera en entornos con HSM.
El servidor IdM ahora funciona correctamente en el modo FIPS
Anteriormente, el conector SSL para el servidor Tomcat estaba implementado de forma incompleta. Como consecuencia, el servidor de gestión de identidades (IdM) con un servidor de certificados instalado no funcionaba en máquinas con el modo FIPS activado. Este error se ha corregido añadiendo JSSTrustManager y JSSKeyManager. Como resultado, el servidor IdM funciona correctamente en el escenario descrito.
Tenga en cuenta que hay varios errores que impiden que el servidor IdM se ejecute en el modo FIPS en RHEL 8. Esta actualización corrige sólo uno de ellos.
La caché de credenciales KCM es ahora adecuada para un gran número de credenciales en una sola caché de credenciales
Anteriormente, si el gestor de credenciales de Kerberos (KCM) contenía un gran número de credenciales, las operaciones de Kerberos, como kinit, fallaban debido a una limitación del tamaño de las entradas en la base de datos y del número de estas entradas.
Esta actualización introduce las siguientes opciones de configuración nuevas en la sección kcm del archivo sssd.conf:
-
max_ccaches (entero) -
max_uid_ccaches (entero) -
max_ccache_size (entero)
Como resultado, KCM puede ahora manejar un gran número de credenciales en un solo ccache.
Para más información sobre las opciones de configuración, consulte la página man de sssd-kcm.
(BZ#1448094)
Samba ya no deniega el acceso cuando se utiliza el complemento de asignación de ID sss
Anteriormente, cuando se ejecutaba Samba en el miembro del dominio con esta configuración y se añadía una configuración que utilizaba el back-end de mapeo de ID de sss en el archivo /etc/samba/smb.conf para compartir directorios, los cambios en el back-end de mapeo de ID provocaban errores. En consecuencia, Samba denegaba el acceso a los archivos en ciertos casos, incluso si el usuario o grupo existía y era conocido por SSSD. El problema se ha solucionado. Como resultado, Samba ya no niega el acceso cuando se utiliza el complemento sss.
Los valores de tiempo de espera de SSSD por defecto ya no entran en conflicto
Anteriormente, había un conflicto entre los valores de tiempo de espera por defecto. Se han cambiado los valores por defecto de las siguientes opciones para mejorar la capacidad de conmutación por error:
- dns_resolver_op_timeout - se fija en 2s (antes 6s)
- dns_resolver_timeout - se fija en 4s (antes 6s)
- ldap_opt_timeout - se establece en 8s (antes 6s)
Además, se ha añadido una nueva opción dns_resolver_server_timeout, con un valor por defecto de 1000 ms, que especifica el tiempo de espera para que SSSD cambie de un servidor DNS a otro.
(BZ#1382750)
