5.11. 身份管理

使用 OpenSSL 传统供应商的 MS-CHAP 验证

在以前的版本中，使用 MS-CHAP 的 FreeRADIUS 身份验证机制会失败，因为它们依赖于 MD4 hash 功能，而 MD4 已在 RHEL 9 中弃用。在这个版本中，如果您启用了 OpenSSL 旧供应商，您可以使用 MS-CHAP 或 MS-CHAPv2 验证 FreeRADIUS 用户。

运行 sudo 命令不再导出 KRB5CCNAME 环境变量

在以前的版本中，在运行 sudo 命令后，环境变量 KRB5CCNAME 指向原始用户的 Kerberos 凭证缓存，这些信息可能无法被目标用户访问。因此，与 Kerberos 相关的操作可能会失败，因为这个缓存无法访问。在这个版本中，运行 sudo 命令不再设置 KRB5CCNAME 环境变量，目标用户可以使用它们的默认 Kerberos 凭证缓存。

SSSD 可以正确地评估 /etc/krb5.conf 中 Kerberos keytab 名称的默认设置

在以前的版本中，如果您为 krb5.keytab 文件定义了一个非标准位置，SSSD 不会使用此位置，并使用默认的 /etc/krb5.keytab 位置。因此，当您试图登录系统时，登录会失败，因为 /etc/krb5.keytab 不包含条目。

现在，使用 PBKDF2 算法以 FIPS 模式验证目录服务器可以正常工作

当目录服务器在联邦信息处理标准(FIPS)模式下运行时，K11_ExtractKeyValue（） 函数不可用。因此，在更新之前，启用了 FIPS 模式时，使用基于密码的身份验证功能 2(PBKDF2)算法无法向服务器进行身份验证。有了这个更新，目录服务器使用 PK11_Decrypt（） 函数来获取密码哈希数据。因此，使用 PBKDF2 算法哈希的密码验证现在可以正常工作。