Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 23 章 认证和互操作性

更改以保持实时条目日志记录级别

保留实时条目用于防止在部分复制中多次评估跳过的更新。如果跳过大量更新,这些条目可以非常频繁更新。另外,每个条目都会被测试,以查看在更新前是否已存在,以便只创建唯一的条目。
此测试之前记录在 Fatal 级别,这会导致错误日志被填充并带有无法过滤掉的不必要的消息。在这个版本中,更改了将实时条目从 Fatal 变为 Replication debug (8192)的日志记录级别,现在可以过滤出条目。(BZ#1314557)

cleanAllRUV 任务不再记录假的 attrlist_replace 错误

cleanAllRUV 任务中的一个内存崩溃错误导致 attrlist_replace 错误消息被错误记录。该任务已更新为对内存复制使用不同的功能,不再将假的错误消息写入日志。(BZ#1288229)

连接对象不再死锁

在以前的版本中,连接对象有时会获得不必要的锁定,从而导致死锁。应用了补丁来删除不必要的锁定,不再会发生死锁。(BZ#1278755)

对简单页面结果搜索的带外请求不再会导致崩溃

在此次更新之前,Directory 服务器可能会在滚动检查完成后收到简单页面结果搜索的取消请求,但在结果完全发送前。在这种情况下,在发送结果时处理 abandon 请求,这会导致 Directory 服务器崩溃。在这个版本中,添加了一个锁定,可防止在结果已发送时处理带外请求,并不再发生崩溃。(BZ#1278567)

现在,在失败后,简单的页面结果搜索插槽会被正确发布

在以前的版本中,如果简单页面结果搜索在后端中失败,则简单的页面结果插槽不会被释放。因此,可以在连接对象中累积多个简单的页面结果插槽。在这个版本中,当搜索失败时,简单的页面结果插槽会被正确发布,未使用的简单页面结果插槽不再保留在连接对象中。(BZ#1290242)

DESAES 密码转换现在必须在 cn=config以外的后缀上手动进行

当目录服务器启动时,由数据加密标准(DES)算法加密的所有提供的密码会自动转换为使用更安全的高级加密标准(AES)算法。DES- 之前使用内部未索引搜索来检测到加密的密码,对于非常大的用户数据库来说太慢,在某些情况下会导致启动过程超时并防止目录服务器启动。在这个版本中,只有配置后缀 cn=config 检查为 DES 密码,现在新的 slapi 任务 des2aes 可用,管理员可在启动服务器后运行,以便在需要时将密码转换为 AES。因此,无论用户数据库的大小如何,服务器都会启动。(BZ#1342609)

删除后端数据库不再会导致死锁

以前,事务信息不会在后端删除过程中传递给其中一个数据库帮助程序功能。因此,如果插件试图访问事务锁定的区域中的数据,则会出现死锁。在这个版本中,事务信息被传递到所有必要的数据库帮助程序功能,不再会发生死锁。(BZ#1273555)

删除并添加相同的 LDAP 属性现在可以正确地更新相等的索引

在以前的版本中,当使用 ldapmodify 命令删除同一 LDAP 属性的多个值,且在同一操作中至少添加了一个值,则不会更新相等的索引。因此,对重新添加的属性值的精确搜索不会返回该条目。现在,索引代码的逻辑已被修改,以便在条目中至少有一个值改变时更新索引,并且准确搜索重新添加的属性值现在会返回正确的条目。(BZ#1290600)

在简单页面的结果搜索中取消请求不再导致死锁

以前,在简单的页面结果搜索中,作为与 abandon 请求相关的程序错误修复的一部分被添加。然而,在特定情况下,这个新锁定会导致一个自我锁定。这个更新使锁定重新识别,在简单页面结果搜索过程中不再会发生自我锁定。(BZ#1295947)

简单的页面结果搜索不再返回 0 而不是实际结果

在以前的版本中,当因为 SIZELIMIT_EXCEEDED 等错误而丢弃连接中的简单页面结果插槽时,丢弃的插槽不会被正确清理。重复此插槽的后续搜索总是返回 0。在这个版本中,丢弃简单页面的结果插槽会被正确清理,搜索会返回正确的结果,即使使用重复使用的插槽也是如此。(BZ#1331343)

ACL 插件不再因为缺少 pblock 对象而崩溃

绑定 用户启动持久搜索(psearch)时,没有足够权限的绑定用户时,缓存中的访问权限对象无法重置,以将初始 pblock 结构指向持久结构。因此,访问控制列表(ACL)插件可能会因为缺少 pblock 对象而崩溃服务器。在这个版本中,确保初始对象重置为永久结构,目录服务器不再会在这种情况下崩溃。(BZ#1302823)

复制更改日志不再错误地跳过更新

changelog iterator 缓冲区中的一个错误会导致在重新载入缓冲区时指向不正确的位置。这会导致复制跳过更改部分,因此不会复制一些更改。这个程序错误已被解决,因为错误重新载入的 changelog 缓冲不再发生复制数据丢失。(BZ#1321124)

旧架构风格现在可以和单引号正确使用

从版本 1.3.2 开始,389-ds-base 软件包与 RFC 4512 中描述的模式定义兼容,这不允许旧版本使用 schema。为简化从之前的版本进行迁移,引入了 nsslapd-enquote-sup-oc 参数。但是,这个参数的实现存在一个程序错误,它会阻止处理单引号的旧模式风格,例如: 
SYNTAX oid
Copy to Clipboard Toggle word wrap
这个程序错误现已解决,您可以使用带旧模式风格的单引号。
另外,这个更新引入了 LDAP_SCHEMA_ALLOW_QUOTES 环境变量,该变量添加了对 schema 目录中旧的模式的支持。要启用此功能,请在 /etc/sysconfig/dirsrv-INSTANCE 配置文件中设置以下变量: 
LDAP_SCHEMA_ALLOW_QUOTED=on
Copy to Clipboard Toggle word wrap
(BZ#1303641)

DES 转换为 AES 的密码现在可以正常工作

在从 Red Hat Enterprise Linux 7.1 升级到 7.2 的过程中,由 Reversible Password 插件使用的加密算法 已从 DES 改为 AES。目录服务器会升级时自动将所有密码转换为新算法。但是,如果任何定义的后端缺少了顶级条目,密码转换会失败,并显示 32 错误。另外,即使转换失败,389-ds-base 仍然禁用了 DES 插件,这会导致现有密码无法解码。
这个程序错误已被解决,389-ds-base 现在会忽略在搜索要转换的密码的后端时出现错误,现在仅在所有密码成功转换为 AES 后禁用 DES 插件。(BZ#1320715)

keep-alive 条目不再会破坏复制

在以前的版本中,在复制过程中在太多机会处创建了一个 keep-alive 条目,可能会在将条目添加到副本更改时导致出现竞争条件,并导致从复制中丢弃操作。在这个版本中,删除了不必要的 keep-alive 条目创建,保留条目不会在复制过程中造成缺少的操作。(BZ#1307151)

现在,在下一个会话中可以正确地重试失败的复制更新

如果副本更新在消费者端失败,然后是成功更新用户的另一个更新,则消费者的复制状态由成功更新,从而导致消费者看起来像最新状态一样。因此,失败的更新永远不会被重试,从而导致数据丢失。在这个版本中,复制失败会关闭连接并停止复制会话。这可防止进一步更新更改消费者的复制状态,并允许供应商在下次会话中重试失败的操作,从而避免数据丢失。(BZ#1310848)

LICENSE 文件现在显示正确的许可证信息

在以前的版本中,rpm -qi 389-ds-base 命令的输出显示带有较早许可证的不正确的 License 字段,GPLv2 带有例外。这个问题已被解决,389-ds-base 软件包现在在其 LICENSE 文件中提供正确的许可证信息( GPLv3+ 许可证)。(BZ#1315893)

管理员重置的密码现在存储在密码历史记录中

当管理员重置用户密码时,旧密码之前不会存储在用户的密码历史记录中。这允许用户在重置后重复使用同一密码。在这个版本中,管理员手动重置的密码存储在密码历史记录中,用户必须使用不同的密码。(BZ#1332709)

多个插件拒绝的条目不再显示在搜索中

在以前的版本中,当多个后端事务插件(如 Auto MembershipManaged Entry)同时拒绝条目时,条目缓存会一直处于不一致的状态。这允许搜索返回条目,即使它没有被添加。在这个版本中,当 添加操作 失败时,存储条目的可辨识名称(DN)的条目缓存会被正确清理,并且 ldapsearch 不再返回被拒绝的条目。(BZ#1304682)

运行没有选项的 db2index 不再会导致复制失败

当运行没有选项的 db2index 脚本时,该脚本无法处理磁盘上的 Replica Update Vector (RUV)条目,因为这些条目没有父条目。现有的 RUV 被跳过,并生成新的 RUV,因此因为 ID 不匹配,下一个复制会失败。在这个版本中修复了对 db2index 中的 RUV 条目的处理,并在不指定任何选项的情况下运行此脚本不再会导致复制失败。(BZ#1340307)

当尝试删除忙碌数据库时,目录服务器不再崩溃

在以前的版本中,在导入过程中尝试使用控制台删除后端数据库会导致 Directory 服务器崩溃。在这个版本中,删除脚本首先检查后端是否忙碌,只有在可以安全地删除时才继续。因此,目录服务器不再崩溃。(BZ#1355760)

将消费者提升到 master 不再因为重复的 ID 错误而失败

在以前的版本中,当消费者实例提升到 master 时,会将新元素附加到副本更新向量(RUV)的末尾。但是,当尝试从新提升的 master 中复制时,远程会检查 RUV 的第一个元素,而不是最后一个元素,这会导致它因为重复的 ID 中止复制会话。在这个版本中,当将副本提升到 master 时,RUV 被重新排序,并从之前副本的 master 复制失败。(BZ#1278987)

nsslapd 现在可以正确地设置其工作目录

在以前的版本中的程序错误修复中引入的回归会导致 nsslapdsystemd 启动时默认跳过其工作目录( nsslapd-workingdir 属性)。这个程序错误已被解决,工作目录会在再次启动过程中设置。(BZ#1360447)

IdM 升级脚本现在可以成功运行

在以前的版本中,身份管理(IdM)服务器升级脚本无法检测版本更改。因此,升级 IdM 服务器会失败。这个程序错误已被解决,升级现在可以成功。(BZ#1290142)

libkadm511 4 库已移到 libkadm5 软件包中

在 Red Hat Enterprise Linux 7.3 中,libkadm 5114 库已从 krb5-libs 移到新的 libkadm5 软件包中。因此,yum 无法自动降级 krb5-libs 软件包。在降级前,手动删除 libkadm5 软件包: 
# rpm -e --nodeps libkadm5
Copy to Clipboard Toggle word wrap
手动删除软件包后,使用 yum downgrade 命令将 krb5-libs 软件包降级到以前的版本。(BZ#1347403)

单点登录现在可以在使用多个 AD 林根域的信任中正常工作

在以前的版本中,如果身份管理(IdM)建立对相互信任的两个不同 Active Directory (AD)林的信任,且 IdM 在其中一个 DNS 子域中设置,则其他 AD 林会报告 IdM 和 AD 之间的名称后缀路由冲突。因此,在 IdM 和标识名称路由的 AD 林之间单点登录会失败。现在,当您建立信任时,流程会检测到这样的冲突。如果您在建立信任过程中提供 AD 管理员凭证,则会自动创建排除条目来解决名称后缀路由冲突。因此,如果 IdM 部署到 AD 林的 DNS 子域中,单点登录可以正常工作。(BZ#1348560)

由于某些多 lib SSSD 软件包,从 Red Hat Enterprise Linux 7.2 升级到 7.3 不再会失败

sssd-commonsssd-krb5-common 软件包作为系统安全服务守护进程(SSSD)的一部分提供,不再支持多个架构。在以前的版本中,当在 32 位和 64 位版本中安装软件包时,从 Red Hat Enterprise Linux 7.2 升级到 7.3 会失败。要解决这个问题,sssd-commonsssd-krb5-common 的 32 位版本已从 Red Hat Enterprise Linux 7.3 中删除。这样可确保升级成功。(BZ#1360188)

OpenLDAP 现在可以正确地设置 NSS 设置

在以前的版本中,OpenSSH 服务器使用不正确的处理网络安全设置(NSS)代码。因此,不会应用设置,这会导致某些 NSS 选项(如 olcTLSProtocolMin )无法正常工作。这个更新解决了这个程序错误,因此受影响的 NSS 选项现在可以正常工作。(BZ#1249093)

现在,当使用带有智能卡的 Kerberos 时,sudo 命令现在可以正常工作

在以前的版本中,pam_krb5 模块在 fork 操作过程中关闭多个文件描述符。因此,如果在 /etc/passwd 文件的第一个 4096 个字符中未找到密码条目,使用 Kerberos 和智能卡进行身份验证的 sudo 命令会失败。这个程序错误已被解决,nsswitch 等库现在可以使用文件描述符,sudo 可以正常工作。(BZ#1263745)

证书系统恢复对 CSR 中的 PKCS the10 扩展的支持

在以前的版本中,在使用外部签名的证书的证书系统安装过程中生成的证书签名请求(CSR)不包含某些外部证书颁发机构(CA)所需的 PKCS11410 扩展。在这个版本中,证书系统创建一个带有默认扩展的 CSR,包括基本限制和密钥用法扩展,以及可选的用户定义的扩展。(BZ#1329365)

IdM CA 服务现在在 IPv6 安装中正确启动

在以前的版本中,在只为 IPv6 配置的系统上,pki-tomcat 服务在身份管理(IdM)安装过程中错误地绑定到 IPv4 回送设备。因此,证书颁发机构(CA)服务无法启动。IdM 设置现在在只配置了 IPv6 协议的系统中绑定到 IPv6 回送设备。因此,CA 服务可以正确地启动。(BZ#1082663)

pki 命令现在显示撤销详情

在这个版本中,pki 子命令 cert-showcert-find 显示有关撤销的证书的信息,如下所示:
  • 吊销日期
  • 被(BZ39) 24382)吊销

ipa-replica-install --setup-dns 不再为 DNS 中已存在的 DNS 名称创建 DNS 区域

在以前的版本中,在 ipa-replica-install 工具中使用 --setup-dns 选项总是创建一个与主身份管理(IdM)域名以及 IdM 服务器的区名称相等的 DNS 区域,即使此类 DNS 区域已经存在。如果多个 DNS 服务器错误地充当域的权威服务器,这会导致客户端出现某些问题。要解决这个问题,如果 IdM 已在其他 DNS 服务器上已存在,IdM 不再创建 DNS 区域。IdM 安装程序可以正确地检测到冲突,在这种情况下安装会失败。(BZ#1343142)

当与其他模块一起使用时,idmap_hash 模块现在可以正常工作

在以前的版本中,当 idmap_hash 模块与其他模块一起使用时,idmap_hash 模块可以正常工作。因此,用户和组 ID 没有被正确映射。应用了补丁来跳过已配置的模块。现在,hash 模块可用作默认的 idmap 配置后端,ID 可以被正确解析。(BZ#1316899)

现在,当 CA 丢失与 netHSM 的连接时,CRL 会生成较少的信息

在以前的版本中,当 CA 丢失到 Thales netHSM 的连接时,CRL 生成可能会在 CRL 生成中进入由依赖组件不可用(如 HSM 或 LDAP)导致的循环。因此,进程会生成大量调试日志信息,直到 CA 重启为止。在这个版本中,提供了一个减慢循环的修复,可显著减少上述场景中生成的调试信息量。(BZ#1308772)

当使用 Gemalto Safenet LunaSA (HSM)安装时,KRA 不再无法恢复密钥

在以前的版本中,如果在 Gemalto Safenet LunaSA 硬件安全模块(HSM)上安装,Red Hat Certificate System 密钥恢复授权(KRA)子系统将无法恢复密钥。现在应用了补丁,如果 HSM 设置为非FIPS 模式,恢复可以正常工作。(BZ#1331596)

较低且更稳定的目录服务器的进程大小

在以前的版本中,Directory 服务器使用 glibc 库中提供的默认内存分配器。此分配器不足来处理目录服务器的 malloc ()free () 模式。因此,目录服务器的内存用量有时非常高,这可能会导致内存不足(OOM) Killer 终止 ns-slapd 进程。在这个版本中,Directory 服务器使用 tcmalloc 内存分配器。因此,Directory 服务器的进程大小会显著降低且更稳定。(BZ#1186512)

现在,当未找到 pin.txt 文件时,ns-slapd 可以正确地提示输入 pin

在以前的版本中,389-ds-base 没有显示提示,如果未找到 pin.txt 文件,因为 systemd 捕获了 389-ds-base 试图使用的标准输入和输出。在这个版本中,389-ds-base 会检测 systemd 是否在启动时在系统中运行,并根据需要使用正确的 systemd API 来显示密码提示。因此,目录服务器可以在没有 pin.txt 文件的情况下启动,该文件允许管理员使 nssdb 密码在系统中保持。(BZ#1316580)

复制协议更新状态现在包含复制协议失败的详情

复制协议更新状态之前只显示错误后的通用消息,这会导致复制协议失败故障排除。现在,更新状态会包括详细的错误消息。因此,所有复制协议更新失败都会正确记录。(BZ#1370300)

IdM 现在使用更大的默认锁定表大小值

在以前的版本中,身份管理(IdM)数据库的锁定数量较低。因此,更新大量组成员资格属性可能会失败。默认锁定表大小从 10000 增加到 100000 来解决这个问题。因此,更新大量组成员资格属性不再会失败。(BZ#1196958)

ipa-server-certinstall 命令不再无法安装外部签名的证书

在以前的版本中,使用 ipa-server-certinstall 命令安装外部签名的证书
  • 之前的证书没有在证书系统中未跟踪。
  • 新外部证书由证书系统跟踪。
  • 使用 NSS 数据库中找到的第一个证书。
因此,当 ipa-server-certinstall 命令由外部证书颁发机构(CA)签名时,ipa-server-certinstall 命令无法为 LDAP 和 Web 服务器安装新证书,且无法启动服务。命令已被修复,现在仅跟踪身份管理(IdM) CA 发布的证书。因此,新证书会被正确安装,LDAP 和 Web 服务器不会在上述场景中启动。(BZ#1294503)

现在,当设置 default_domain_suffix 或包含完全限定名称时,sudo 规则现在可以正常工作

在以前的版本中,sudo 工具不会在以下情况下正确评估 sudo 规则:
  • 当在 /etc/sssd/sssd.conf 文件中使用 default_domain_suffix 选项
  • sudo 规则使用完全限定用户名时
因此,sudo 规则无法正常工作。在这个版本中,系统安全服务守护进程(SSSD)修改 sudo 规则,以便 sudo 在上述情况下正确评估它们。(BZ#1300663)

代理配置已从 SSSD 默认配置文件中删除

在以前的版本中,系统安全服务守护进程(SSSD) /usr/lib64/sssd/conf/sssd.conf 默认配置文件使用自动配置的域代理所有请求到 /etc/passwd/etc/groups 文件。此代理配置无法与 realmdipa-client-install 等其他工具集成。要修复不兼容,[domain/shadowutils] 代理配置已被删除,SSSD 现在可以正常工作。(BZ#1369118)

sss_override 工具中显示、查找和导出操作现在可以正常工作

Red Hat Enterprise Linux 7.3 向系统安全服务守护进程(SSSD)引入了本地覆盖。由于回归,如果在没有 -n 选项的情况下创建了覆盖,sss_override 命令会失败。这个 bug 已被修复,s s_override 现在可以正常工作。(BZ#1373420)

当用户在 IdM 中没有主目录时,ipa 命令不再会失败

在以前的版本中,当身份管理(IdM)无法在主目录中的 ~/.cache/ipa 创建缓存目录时,所有 ipa 命令都会失败。例如,当用户没有主目录时会出现这种情况。在这个版本中,即使无法创建或访问缓存,IdM 可以继续工作。请注意,在这种情况下,ipa 命令可能需要很长时间才能完成,因为所有元数据都必须重复下载。(BZ#1364113)

显示 IdM 命令行界面的帮助信息不再需要意外时间

当用户使用 --help 选项执行 ipa 工具时,ipa 会从插件和命令收集所需的信息。在以前的版本中,插件和命令是 Python 模块。在这个版本中,ipa 根据从服务器下载的模式生成插件和命令。
因此,显示帮助有时比之前的身份管理(IdM)版本完成的时间要长得多,特别是当帮助包含主题和命令列表时。这个程序错误已被解决,它减少了使用 --help 执行 ipa 所需的时间。(BZ#1356146)

在带有早期版本的 IdM 的服务器上运行命令不再需要意外时间

当运行 IdM 版本 4.4 的身份管理(IdM)客户端上的用户执行命令时,IdM 会检查客户端联系的服务器是否支持新的命令模式。由于此信息没有缓存,因此每次客户端联系服务器时都会执行检查,这延长了在运行较早版本的 IdM 的服务器上调用命令所需的时间。如果用户执行了 IdM 4.4 中引入的新命令,有时也会看到该操作根本不完成,因为服务器无法识别该命令。这个程序错误已被解决,在上述情况下执行 IdM 命令不再需要意外时间。(BZ#1357488)

可信 AD 林中的 tree-root 域现在通过林根标记为可访问

当 Active Directory (AD)林包含树根域(单独的 DNS 域)时,身份管理(IdM)有时无法正确将身份验证请求路由到树根域控制器。因此,来自 tree-root 域的用户无法对 IdM 中托管的服务进行身份验证。在这个版本中修复了这个程序错误,来自树根域中的用户可以按预期进行身份验证。(BZ#1318169)

IdM Web UI 按预期显示子 CA 发布的证书

要显示证书颁发机构(CA)发布的证书,IdM Web UI 使用 ipa cert-find 命令来查询 CA 名称,然后 ipa cert-show 命令。在以前的版本中,ipa cert-show 不使用 CA 名称。因此,尝试显示子 CA 发布的证书详情页面失败,在 web UI 中出现错误。这个程序错误已被解决,Web UI 现在会如预期显示证书的详情页面。(BZ#1368424)

Certmonger 不再无法从 IdM 子 CA 请求证书

certmonger 服务之前使用不正确的 API 调用从 IdM 子证书授权(sub-CA)请求证书。因此,子 CA 设置会被忽略,证书始终由 IdM root CA 发布。在这个版本中解决了这个程序错误,certmonger 现在会如预期从 IdM 子 CA 请求证书。(BZ#1367683)

使用自定义密钥添加 IdM OTP 令牌可以正常工作

当用户使用 --key 选项执行 ipa otptoken-add 命令时,以添加新的一次性密码(OTP)令牌,身份管理(IdM)命令行会错误地转换用户提供的令牌密钥。因此,IdM 中创建的 OTP 令牌无效,尝试使用 OTP 令牌进行身份验证会失败。在这个版本中修复了这个程序错误,在这种情况下创建的 OTP 令牌有效。(BZ#1368981)

现在,可以使用 EE 页面将管理员证书导入到网页浏览器中

在以前的版本中,使用 EnrollSuccess.template 将证书系统管理员证书导入到 web 浏览器中会失败,并显示以下错误: 
Error encountered while rendering a response.
Copy to Clipboard Toggle word wrap
在这个版本中,您可以按照以下步骤导入证书:
1.停止 pki-tomcatd 服务: 
systemctl stop pki-tomcatd@pki-tomcat.service
Copy to Clipboard Toggle word wrap
2.编辑 /etc/pki/pki-tomcat/ca/CS.cfg 文件,使其包含以下内容: 
ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true
Copy to Clipboard Toggle word wrap
3.启动 pki-tomcatd 服务: 
systemctl start pki-tomcatd@pki-tomcat.service
Copy to Clipboard Toggle word wrap
4.创建新的 Firefox 配置文件。
5.进入 End Entity (EE)页面,然后选择 Retrieval 选项卡。
6.导入 CA 证书并将其配置为可信证书。
7.在新的 Firefox 配置文件中,转至 https://pki.example.com:8443/ca/admin/ca/adminEnroll.html,然后填写表单。
8.生成一个新的管理员证书源。将它导入到新的 Firefox 配置文件。
要验证证书是否已成功导入,请使用它进入 Agents 页面。(BZ#1274419)
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat