Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 2 章 认证和互操作性

SSSD 可以正确地报告嵌套域中 AD 用户的补充组

解决 Active Directory (AD)用户有时无法解析有两个 AD 域中存在的 samAccountName 属性的补充组,当出现以下情况时:
  • 其中一个 AD 域被嵌套在另一个 AD 域下
  • 用户存储在非默认组织单元(OU)中
因此,id [user_name] 命令只报告这些用户的主组。
底层 SSSD 代码已被改进,以更好地与用户帐户与其域匹配。因此,SSSD 在上述情形中报告 AD 用户的补充组。(BZ#1293168)

当两个 SRV 解析请求同时运行时,身份验证不再会失败

当多个服务记录(SRV)解析请求时,其中一个服务会返回一个故障,表示没有找到新的服务器。因此,使用 ssh 工具进行身份验证会失败。在这个版本中,SSSD 可以安全地处理两个并发 SRV 解析请求。因此,在这种情况下身份验证不再会失败。(BZ#1367435)

已过期或锁定帐户的用户现在可以使用其 SSH 密钥登录到 IdM 客户端

当具有过期或锁定的用户帐户的可信 Active Directory (AD)用户尝试使用非密码登录方法(如 SSH 密钥)登录到身份管理(IdM)客户端时,可以成功登录。在这个版本中,IdM 客户端在验证是否允许 AD 用户登录时检查 AD lockout 属性。因此,在这种情况下,不再允许具有过期或锁定帐户的 AD 用户登录。
请注意,这个程序错误没有安全影响: AD 用户无法在 IdM 客户端上获得 Kerberos 票据,因为用户帐户在服务器端已过期或锁定。(BZ#1335400)

sssd_be 子处理不再不必要的消耗内存

在以前的版本中,当 /etc/sssd/sssd.conf 文件中的 id_provider 选项被设置为 ad 时,sssd_be 进程中的帮助程序进程有时会失败。因此,进程会生成新的 sssd_be 实例,该实例消耗额外的内存。
在这个版本中,如果没有帮助程序可用,SSSD 不会分叉 sssd_be 子进程。这可减少消耗的内存量。(BZ#1336453)

在 keytab 中尝试更新系统密码不再导致 SSSD 停止工作

当尝试更新存储在 keytab 中的系统密码时,系统安全服务守护进程(SSSD)会泄漏文件描述符。泄漏文件描述符会逐渐积累,这会导致 SSSD 停止工作。
在这个版本中,SSSD 不会在这种情况下泄漏文件描述符。因此,SSSD 能够保持更新系统密码,而不会对系统造成负面影响。(BZ#1340176)

SSSD 现在可以正确地处理包含 key=value以外的格式的 GPO 文件

在以前的版本中,系统安全服务守护进程(SSSD)无法正确处理以 key=value 以外的格式包含属性对的 INI 文件。因此,SSSD 无法处理包含此类属性的组策略对象(GPO)文件。
在这个版本中,SSSD 可以正确地处理上述文件,即使它们使用了与 key=value 不同的属性格式。(BZ#1374813)

SSSD 现在可以正确地解析带有 externalUser 的用户

externalUser LDAP 属性的支持已从 Red Hat Enterprise Linux 6.8 的系统安全服务守护进程(SSSD)中删除。因此,将 sudo 规则分配给本地帐户(如使用 /etc/passwd 文件)会失败。问题仅影响身份管理(IdM)域和 Active Directory (AD)可信域之外的帐户。
在这个版本中,确保 SSSD 可以正确地解析定义了 externalUser 属性的用户。因此,在上述情形中,分配 sudo 规则可以正常工作。(BZ#1321884)

SSSD 在 AD 环境中正确创建本地覆盖

在以前的版本中,当 /etc/sssd/sssd.conf 文件中的 id_provider 选项被设置为 ad 时,sss_override 工具会创建区分大小写的可分辨名称(DN)。但是,SSSD 缓存中的 DN 存储为区分大小写的。因此,不会为 Active Directory (AD)子域中的用户以及混合帐户名称的用户创建本地覆盖。在这个版本中,SSSD 在缓存中搜索对象,并使用搜索结果中的 DN。这解决了上述情况下的问题。(BZ#1327272)

OpenLDAP 现在可以正确地设置 NSS 设置

在以前的版本中,OpenLDAP 服务器使用不正确的网络安全设置(NSS)代码处理。因此,不会应用设置,这会导致某些 NSS 选项(如 olcTLSProtocolMin )无法正常工作。这个版本解决了这个程序错误,因此受影响的 NSS 选项现在可以正常工作。(BZ#1249092)

IPA 副本安装不再因为不正确的 HTTP 请求而失败

以前,pki-core 中的一个错误导致 PKI 生成 HTTP 请求缺少 Host 标头,并在 IPA 副本安装过程中使用不正确的行分隔符。同时,对 httpd 的更新会导致这些不正确的请求被拒绝,即使它们在以前的版本中被接受,因此 IPA 副本会失败。这个对 pki-core 的更新修复了 HTTP 请求生成中的问题,副本安装现在可以正常工作。(BZ#1403943)
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.