红帽全球峰会4.13. 身份管理
python-jwcrypto rebase 到版本 1.5.6
python-jwcrypto 软件包已更新至版本 1.5.6。此版本包括针对一个问题的安全修复,其中攻击者可以通过传递一个具有高压缩率的恶意 JWE Token 来拒绝服务攻击。
Jira:RHELDOCS-18197[1]
ansible-freeipa rebase 到 1.13.2
ansible-freeipa 软件包已从版本 1.12.1 rebase 到 1.13.2,主要改进包括:
-
您现在可以动态为
ansible-freeipaplaybook 创建一个身份管理(IdM)服务器清单。freeipa插件收集有关域中 IdM 服务器的数据,并只选择分配了指定的 IdM 服务器角色的服务器。例如,如果要搜索域中所有 IdM DNS 服务器的日志,以检测可能的问题,则插件确保所有具有 DNS 服务器角色的 IdM 副本都被检测到,并自动添加到受管节点中。 现在,您可以更有效地运行
ansible-freeipaplaybook,其使用单个 Ansible 任务来添加、修改和删除多个身份管理(IdM)用户、用户组、主机和服务。在以前的版本中,用户列表中的每个条目都有其专用的 API 调用。有了此增强,几个 API 调用被合并为一个任务中的一个 API 调用。这同样适用于用户组、主机和服务的列表。因此,使用
ipauser,ipagroup,ipahost和ipaservice模块添加、修改和删除这些 IdM 对象的速度增加了。使用客户端上下文时,可以看到最大的好处。ansible-freeipa现在额外提供角色和模块,来作为ansible-freeipa-collection子软件包中的 Ansible 集合。要使用新集合:-
安装
ansible-freeipa-collection子软件包。 -
将
freeipa.ansible_freeipa前缀添加到角色和模块的名称中。使用完全限定名称遵循 Ansible 建议。例如,要引用ipahbacrule模块,请使用freeipa.ansible_freeipa.ipahbacrule。
您可以通过应用
module_defaults来简化是freeipa.ansible_freeipa集合一部分的模块的使用。-
安装
iparebase 到版本 4.12.0
ipa 软件包已从 4.11 版本更新至 4.12.0。主要变更包括:
- 您可以为不提供 OTP 令牌的用户强制 LDAP 身份验证失败。
- 您可以使用可信的活动目录用户注册身份管理(IdM)客户端。
- FreeIPA 中身份映射的文档现在可用。
-
python-dns软件包已 rebase 到版本 2.6.1-1.el10。 -
ansible-freeipa软件包已从 1.12.1 rebase 到 1.13.2。
如需更多信息,请参阅 FreeIPA 和 ansible-freeipa 上游发行注记。
certmonger rebase 到版本 0.79.20
certmonger 软件包已 rebase 到版本 0.79.20。此更新包括各种 bug 修复和增强,最重要的是:
- 增强了内部令牌中新证书的处理,并改进了续订的删除过程。
-
删除了对
CKM_RSA_X_509加密机制的令牌的限制。 -
修复了
getcert add-scep-ca,--ca-cert和--ra-cert选项的文档。 - 重命名 D-Bus 服务和配置文件以匹配规范名称。
-
在
getcert-resubmit手册页中添加了缺失的.TP标签。 - 迁移到 SPDX 许可证格式。
-
在
getcert list输出中包含了所有者和权限信息。 -
在
cm_certread_n_parse函数中删除了对 NSS 数据库的要求。 - 添加了对简体中文、Georgian 和俄语使用 Webplate 的翻译。
389-ds-base rebase 到版本 2.5.2
389-ds-base 软件包已更新至版本 2.5.2。与 2.4.5 版本相比,重要的 bug 修复和增强包括:
改进了 MIT krb5 TCP 连接超时处理
在以前的版本中,TCP 连接在 10 秒后超时。有了此更新,MIT krb5 TCP 连接处理已被修改为不再使用默认超时。request_timeout 设置现在限制总请求持续时间,而不是单个 TCP 连接的持续时间。这个变化解决了 SSSD 的集成问题,特别是对于双因素验证用例。因此,用户会体验到更一致的 TCP 连接的处理,因为 request_timeout 设置现在可以有效地控制全局请求最长持续时间。
Jira:RHEL-17132[1]
