红帽全球峰会14.5. 删除的功能
nss-pam-ldapd 软件包已被删除
nss-pam-ldapd 软件包已从 RHEL 中删除。红帽建议迁移到 SSSD 及其 ldap 供应商,它完全替换了 nslcd 服务的功能。SSSD 具有专门解决 nss-pam-ldapd 用户需求的功能,例如:
- 主机数据库
- 网络数据库
- 服务数据库
NIS 软件包已被删除
以下网络信息服务(NIS)组件已从 RHEL 中删除:
-
nss_nis -
yp-tools -
ypbind -
ypserv
无法直接替换完全兼容功能,因为 NIS 技术基于过时的设计模式,不再被视为安全。
红帽建议改用 RHEL Identity Management 和 SSSD。
openssh-ldap 软件包已被删除
因为 openssh-ldap 子软件包没有被上游维护,它已从 RHEL 中删除。红帽建议使用 SSSD 和 sss_ssh_authorizedkeys 帮助程序,它们与其他 IdM 解决方案更好地集成且更安全。
默认情况下,SSSD ldap 和 ipa 供应商会读取用户对象的 sshPublicKey LDAP 属性(如果可用)。请注意,您无法为 ad provider 或 IdM 可信域使用默认的 SSSD 配置从 Active Directory(AD)检索 SSH 公钥,因为 AD 没有存储公钥的默认 LDAP 属性。
要允许 sss_ssh_authorizedkeys 帮助程序从 SSSD 获取密钥,在 sssd.conf 文件的 services 选项中添加 ssh 来启用 ssh 响应程序。详情请查看 sssd.conf(5) 手册页。
要允许 sshd 使用 sss_ssh_authorizedkeys,请在 /etc/ssh/sshd_config 文件中添加以下选项,如 sss_ssh_authorizedkeys(1) man page 所述:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser nobody
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobodycustodia 软件包已被删除
custodia 软件包已集成到 RHEL 9 中的 Red Hat Identity Management 中,不再作为单独的服务提供。
gsntlmssp 软件包已被删除
由于 Windows New Technology LAN Manager(NTLM)被视为不安全,因此删除了 gssntlmssp 软件包。
nsslapd-conntablesize 配置参数已从 389-ds-base中删除
nsslapd-conntablesize 配置参数已从 RHEL 9.3 中的 389-ds-base 软件包中删除。在以前的版本中,nsslapd-conntablesize 配置属性指定管理建立的连接的连接表的大小。随着多监听器功能的引入,它改进了已建立连接的管理,目录服务器现在可以动态计算连接表的大小。这也解决了这类问题,当连接表大小被设置得太小时,它会影响服务器能够支持的连接的数量。从 RHEL 9.3 开始,只使用 nsslapd-maxdescriptors 和 nsslapd-reservedescriptors 属性来管理目录服务器可以支持的 TCP/IP 连接的数量。
对 FreeRADIUS 的有限支持
在 RHEL 9 中,不支持以下外部身份验证模块作为 FreeRADIUS 产品的一部分:
- MySQL、PostgreSQL、SQlite 和 unixODBC 数据库连接器
-
Perl语言模块 - REST API 模块
PAM 身份验证模块以及其它作为基础软件包的一部分提供的身份验证模块不受影响。
您可以在社区支持的软件包中找到已删除模块的替代品,例如在 Fedora 项目中。
另外,现在对 freeradius 软件包的支持范围仅限于以下用例:
-
将 FreeRADIUS 用作身份验证提供者,身份管理(IdM)作为身份验证的后端源。身份验证通过
krb5和 LDAP 身份验证软件包或在主 FreeRADIUS 软件包中作为 PAM 身份验证进行。 -
使用 FreeRADIUS ,通过
Python 3身份验证软件包为 IdM 中的身份验证提供真实源。
与这些移除相反,红帽现在使用 FreeRADIUS 增强对以下外部身份验证模块的支持:
-
基于
krb5和 LDAP 的身份验证 -
Python 3身份验证
这些集成选项的重点在于与红帽 IdM 的战略方向紧密一致。
nsslapd-changelogcompactdb-interval 参数已从 389-ds-base 软件包中删除
从 RHEL 9.0 开始,目录服务器 changelog 被集成到主数据库中。因此,nsslapd-changelogcompactdb-interval 参数不再存在。
nsslapd-logging-hr-timestamps-enabled 配置参数已从 389-ds-base 软件包中删除
在 RHEL 9.6 中的 389-ds-base 软件包中删除了 nsslapd-logging-hr-timestamps-enabled 配置参数。在此次更新之前,您可以在 Directory 服务器中关闭高解析时间戳,日志文件具有以下时间戳:
11/Feb/2025:20:30:48
11/Feb/2025:20:30:48从 RHEL 9.6 开始,目录服务器日志文件只使用高分辨率时间戳:
11/Feb/2025:20:30:48.736142391
11/Feb/2025:20:30:48.736142391
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}