8.11. Gestión de la identidad
La utilidad dsctl ya no falla al gestionar instancias con un guión en su nombre
Anteriormente, la utilidad dsctl no analizaba correctamente los guiones en los nombres de las instancias de Directory Server. Como consecuencia, los administradores no podían utilizar dsctl para gestionar instancias con un guión en su nombre. Esta actualización corrige el problema, y dsctl ahora funciona como se espera en el escenario mencionado.
Los nombres de las instancias del Servidor de Directorio ahora pueden tener hasta 103 caracteres
Cuando un cliente LDAP establece una conexión con Directory Server, el servidor almacena la información relacionada con la dirección del cliente en un buffer local. Anteriormente, el tamaño de este búfer era demasiado pequeño para almacenar un nombre de ruta LDAPI de más de 46 caracteres. Este es el caso, por ejemplo, si el nombre de la instancia del Servidor de Directorio es demasiado largo. Como consecuencia, el servidor terminaba inesperadamente debido a un desbordamiento del búfer. Esta actualización aumenta el tamaño del búfer hasta el tamaño máximo que admite la biblioteca Netscape Portable Runtime (NSPR) para el nombre de la ruta. Como resultado, Directory Server ya no se bloquea en el escenario mencionado.
Tenga en cuenta que, debido a la limitación de la biblioteca NSPR, un nombre de instancia puede tener un máximo de 103 caracteres.
La utilidad pkidestroy ahora escoge la instancia correcta
Anteriormente, el comando pkidestroy --force ejecutado en una instancia medio eliminada elegía la instancia pki-tomcat por defecto, independientemente del nombre de la instancia especificado con la opción -i instance.
Como consecuencia, esto eliminó la instancia pki-tomcat en lugar de la instancia prevista, y la opción --remove-logs no eliminó los registros de la instancia prevista. pkidestroy ahora aplica el nombre de la instancia correcta, eliminando sólo los restos de la instancia prevista.
Se ha actualizado la descripción de ldap_user_authorized_service en la página man de sssd-ldap
La pila de módulos de autenticación enchufables (PAM) ha cambiado en RHEL 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM utilizando el servicio PAM systemd-user. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.
Debe tener en cuenta este cambio cuando diseñe reglas de control de acceso para los sistemas RHEL 8. Por ejemplo, puede añadir el servicio systemd-user a la lista de servicios permitidos.
Tenga en cuenta que para algunos mecanismos de control de acceso, como IPA HBAC o AD GPOs, el servicio systemd-user se ha añadido a la lista de servicios permitidos por defecto y no es necesario realizar ninguna acción.
La página man de sssd-ldap ha sido actualizada para incluir esta información.
Ahora se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM
Anteriormente, cuando se habilitaba el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se mostraba información sobre los registros DNS requeridos. Era necesario introducir manualmente el comando ipa dns-update-system-records --dry-run para obtener una lista de todos los registros DNS requeridos por IdM.
Con esta actualización, el comando ipa-adtrust-install enumera correctamente los registros del servicio DNS para añadirlos manualmente a la zona DNS.
