6.2.10. Gestão da Identidade
SSSD não baixa mais todas as regras com um caractere curinga por padrão
Anteriormente, a opção ldap_sudo_include_regexp era definida incorretamente como verdadeira por padrão. Como conseqüência, quando o SSSD começou a funcionar ou após a atualização das regras do SSSD, o SSSD baixou todas as regras que continham um caractere curinga(*) no atributo sudoHost. Esta atualização corrige o erro, e a opção ldap_sudo_include_regexp está agora corretamente definida como falsa por padrão. Como resultado, o problema descrito não ocorre mais.
a krb5 agora só solicita tipos de criptografia permitidos
Anteriormente, os tipos de criptografia permitidos especificados na variável permitted_enctypes no arquivo /etc/krb5.conf não se aplicavam aos tipos de criptografia padrão se os atributos default_tgs_enctypes ou default_tkt_enctypes não estivessem definidos. Conseqüentemente, os clientes Kerberos puderam solicitar conjuntos de cifras depreciadas como RC4, o que pode fazer com que outros processos falhem. Com esta atualização, os tipos de criptografia especificados na variável permitted_enctypes também se aplicam aos tipos de criptografia padrão, e somente os tipos de criptografia permitidos são solicitados.
O conjunto de cifras RC4, que foi depreciado no RHEL 8, é o tipo de criptografia padrão para usuários, serviços e trusts entre domínios do Active Directory (AD) em uma floresta AD.
- Para garantir suporte para tipos de criptografia AES forte entre domínios AD em uma floresta AD, consulte o AD DS: Segurança: Kerberos Erro de tipo "Unsupported etype" ao acessar um recurso em um artigo da Microsoft de domínio confiável.
-
Para permitir o suporte para o tipo de criptografia RC4 depreciado em um servidor IdM para compatibilidade com AD, use o comando
update-crypto-policies --set DEFAULT:AD-SUPPORT.
(BZ#1791062)
Os KDCs agora aplicam corretamente a política de senha vitalícia dos backends LDAP
Anteriormente, os Centros de Distribuição Kerberos (KDCs) que não são da IPA não garantiam o máximo de vida útil das senhas porque o backend LDAP da Kerberos aplicava as políticas de senhas de forma incorreta. Com esta atualização, o backend Kerberos LDAP foi corrigido, e os tempos de vida útil da senha se comportam como esperado.
Notificações de expiração de senha enviadas a clientes AD usando SSSD
Anteriormente, os clientes do Active Directory (não IdM) que usavam SSSD não recebiam avisos de expiração de senha devido a uma mudança recente na interface SSSD para adquirir as credenciais da Kerberos.
A interface Kerberos foi atualizada e os avisos de expiração agora são enviados corretamente.
O servidor de diretório não mais vaza memória ao usar definições COS indiretas
Anteriormente, após processar uma definição indireta de Classe de Serviço (COS), o Directory Server vazava memória para cada operação de busca que utilizava uma definição de COS indireta. Com esta atualização, o Servidor de Diretório libera todas as estruturas COS internas associadas à entrada do banco de dados após ter sido processado. Como resultado, o servidor não mais vaza memória ao usar definições de COS indireto.
A adição de anulações de ID de usuários AD agora funciona na IdM Web UI
Anteriormente, a adição de anulações de ID de usuários do Active Directory (AD) aos grupos de Gerenciamento de Identidade (IdM) no Default Trust View com o propósito de conceder acesso a funções de gerenciamento falhou ao usar a interface web do IdM. Esta atualização corrige o erro. Como resultado, agora você pode usar tanto a Web UI quanto a interface de linha de comando (CLI) do IdM neste cenário.
FreeRADIUS não gera mais certificados durante a instalação do pacote
Anteriormente, o FreeRADIUS gerava certificados durante a instalação do pacote, resultando nos seguintes problemas:
- Se o FreeRADIUS fosse instalado usando Kickstart, os certificados poderiam ser gerados em um momento em que a entropia no sistema fosse insuficiente, resultando em uma instalação falhada ou em um certificado menos seguro.
- A embalagem foi difícil de construir como parte de uma imagem, como um recipiente, porque a instalação da embalagem ocorre na máquina construtora em vez da máquina alvo. Todas as instâncias que são geradas a partir da imagem tinham a mesma informação de certificado.
- Era difícil para um usuário final gerar uma simples VM em seu ambiente, pois os certificados teriam que ser removidos e regenerados manualmente.
Com esta atualização, a instalação do FreeRADIUS não gera mais certificados CA autoassinados por padrão nem certificados CA subordinados. Quando o FreeRADIUS é lançado via sistemad:
- Se todos os certificados exigidos estiverem faltando, um conjunto de certificados padrão é gerado.
- Se um ou mais dos certificados esperados estiver presente, não gera novos certificados.
FreeRADIUS gera agora parâmetros Diffie-Hellman compatíveis com FIPS
Devido aos novos requisitos FIPS que não permitem que o openssl gere parâmetros Diffie-Hellman (dh) via dhparam, a geração de parâmetros dh foi removida dos scripts de bootstrap do FreeRADIUS e o arquivo, rfc3526-group-18-8192.dhparam, está incluído com os pacotes FreeRADIUS para todos os sistemas, e assim permite que o FreeRADIUS inicie no modo FIPS.
Observe que você pode personalizar /etc/raddb/certs/bootstrap e /etc/raddb/certs/Makefile para restaurar a geração de parâmetros DH, se necessário.
Atualização do Healthcheck agora atualiza corretamente tanto o ipa-healthcheck-core quanto o ipa-healthcheck
Anteriormente, a entrada do yum update healthcheck não atualizava o pacote ipa-healthcheck, mas o substituía pelo pacote ipa-healthcheck-core. Como conseqüência, o comando ipa-healthcheck não funcionava após a atualização.
Esta atualização corrige o bug, e a atualização do ipa-healthcheck agora atualiza corretamente tanto o pacote ipa-healthcheck quanto o pacote ipa-healthcheck-core. Como resultado, a ferramenta Healthcheck funciona corretamente após a atualização.
