Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 3 章 认证和互操作性

SSSD 现在可让管理员从 AD 林中选择哪些域

在某些环境中,只能访问加入 Active Directory (AD)林中的域子集。尝试联系无法访问的域可能会导致不必要的超时,或者将系统安全服务守护进程(SSSD)切换到离线模式。
为防止这种情况,管理员现在可以通过设置 /etc/sssd/sssd.conf/ 文件中的 ad_enabled_domains 选项来配置 SSSD 连接到的域列表。详情请查看 sssd-ad (5)手册页。(BZ#1324428)

SSSD 现在启用选择一个没有从 pam_sss接收任何环境变量的 PAM 服务列表

在某些情况下,不需要传播由 pam_sss 可插拔验证模块(PAM)设置的环境变量。例如,在使用 sudo -i 命令时,用户可能希望将原始用户的 KRB5CCNAME 变量传送到目标环境中。
在以前的版本中,当非特权用户执行 sudo -i 命令成为另一个非特权用户时,新的非特权用户没有读取 KRB5CCNAME 指向的 Kerberos 凭据缓存的权限。
对于此用例,此更新会添加名为 pam_response_filter 的新选项。使用 pam_response_filter,管理员可以在登录期间列出不接收任何环境变量(如 sudo-i)的 PAM 服务(如 sudo-i)。现在,如果 pam_response_filter 列出了 sudo-i,用户可以从一个非特权用户切换到另一个非特权用户,而无需在目标环境中设置 KRB5CCNAME。(BZ#1329378)

IdM 服务器现在可以配置为需要 TLS 1.2 或更好的

传输层安全(TLS)协议版本 1.2 被视为比之前的版本更安全。在这个版本中,您可以将身份管理(IdM)服务器配置为使用低于 TLS 1.2 的安全协议进行禁止通信。
详情请查看以下红帽知识库文章 :https://access.redhat.com/articles/2801181。(BZ#1367026)

pam_faillock 现在可以使用 unlock_time=never配置

pam_faillock 模块现在允许使用 unlock_time=never 选项指定,由多个身份验证失败导致的用户身份验证锁定应该永远不会过期。(BZ#1404832)

libkadm5* 库已移到 libkadm5 软件包中

在 Red Hat Enterprise Linux 6.9 中,libk adm5* 库已从 krb5-libs 移到新的 libkadm5 软件包。因此,yum 无法自动降级 krb5-libs 软件包。在降级前,手动删除 libkadm5 软件包: 
# rpm -e --nodeps libkadm5
Copy to Clipboard Toggle word wrap
手动删除软件包后,使用 yum downgrade 命令将 krb5-libs 软件包降级到以前的版本。(BZ#1351284)
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat