11.10. 身份管理

ipa idrange-add 命令现在警告目录服务器必须在所有 IdM 服务器上重启

在以前的版本中，ipa idrange-add 命令不会警告管理员，他们必须在创建新范围后在所有 IdM 服务器上重启目录服务器(DS)服务。因此，管理员有时使用属于新范围的 UID 或 GID 创建了一个新用户或组，无需重启 DS 服务。这个添加导致新用户或组没有被分配 SID。有了此更新，需要在所有 IdM 服务器上重启 DS 的警告被添加到命令输出中。

ipa-replica-manage 命令不再在强制复制过程中重置 nsslapd-ignore-time-skew 设置

在以前的版本中，ipa-replica-manage force-sync 命令将 nsslapd-ignore-time-skew 设置重置为 off，而不考虑配置的值。有了此更新，nsslapd-ignore-time-skew 设置在强制复制过程中不再被覆盖。

Certmonger 现在可以正确地更新隐藏的副本上的 KDC 证书

在以前的版本中，当证书即将过期时，certmonger 无法更新隐藏的副本上的 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC 而导致的。有了此更新，隐藏的副本被视为活跃的 KDC，certmonger 可以在这些服务器上成功更新 KDC 证书。

不再可以使用过期的令牌绕过双因素身份验证

在以前的版本中，可以通过创建一个具有特定有效期结束时间的 OTP 令牌来绕过双因素身份验证。

帐户策略插件现在在复制拓扑中使用适当的标记进行更新

在此更新之前，帐户策略插件没有对更新使用正确的标记。因此，在复制拓扑中，更新插件更新了登录历史记录，但此更新在消费者服务器上失败，并记录了以下错误消息：

TLS 1.3 现在可以用来连接到运行在 FIPS 模式下的 LDAP 服务器

在此更新之前，当在 FIPS 模式下连接到 LDAP 服务器时，当您尝试明确设置 TLS 1.3 时，使用的 TLS 版本仍保持在 1.2 。因此，尝试使用 TLS 1.3 连接到 LDAP 服务器失败。有了此更新，FIPS 模式下 TLS 版本的上限改为 1.3，尝试使用 TLS 1.3 连接到 LDAP 服务器不再失败。

具有分页结果搜索的竞争条件不再使用 T3 错误代码关闭连接

在此更新之前，在检查连接的时间事件的分页结果数据时，目录服务器没有使用合适的线程保护。因此，分页结果超时值意外更改了，并在新操作到来时触发了一个假超时。这导致一个超时错误，并使用以下 T3 错误代码关闭了连接：

ldapsearch 现在按预期遵重 NETWORK_TIMEOUT 设置

在此更新之前，ldapsearch 命令会在服务器无法访问时忽略超时时间，因此搜索会无限期挂起，而不是超时。有了此更新，通过调整连接重试和套接字选项，修复了 TLS 处理中的逻辑错误。

当尝试释放资源时，OpenLDAP 库不再失败

在此更新之前，当应用程序已经通过直接调用 OPENSSL_cleanup() 函数，或通过 atexit() 函数清理了这些资源时，OpenLDAP 库尝试在其析构函数中使用 SSL_CTX_free() 函数来释放内存。因此，当无效的 SSL_CTX_free() 调用尝试释放已经清理的 SSL 上下文资源时，用户遇到了失败或未定义的行为。

当条目 RDN 有与后缀 DN 相同的值时，重新索引不再失败

在此更新之前，如果条目的相对可分辨名称(RDN)有与目录中的后缀可分辨名称(DN)相同的值，则 entryrdn 索引会被破坏。因此，目录服务器可能执行较慢的搜索请求，获得无效的结果，并将警报消息写到错误日志中。