6.9. 身份管理
Certmonger 现在可以正确地更新隐藏的副本中的 KDC 证书
在以前的版本中,当证书即将过期时,certmonger 无法在隐藏的副本中更新 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC。在这个版本中,隐藏的副本被视为活跃的 KDC,certmonger 会在这些服务器上成功更新 KDC 证书。
默认情况下,自动成员插件不再清理组
在以前的版本中,自动重建任务首先删除了所有成员资格值,然后从头开始重新构建成员资格。因此,重建任务的成本很高,特别是如果启用了其他 be_txn 插件。
有了此更新,自动成员插件有了以下改进:
- 一次只允许一个重建任务。
自动成员插件不再默认清理以前的成员。使用新的
--cleanupCLI 选项,在从头开始重新构建前有意清理成员资格:# dsconf slapd-instance_name plugins automember fixup -f objectclass=posixaccount -s sub --cleanup "ou=people,dc=example,dc=com"
- 改进了日志记录以显示修复进度。
Jira:RHEL-5390[1]
当一个操作完成时,分配的内存现在被释放
在以前的版本中,KCM 为每个操作分配的内存在连接关闭之前不会被释放。因此,对于打开连接并在同一个连接上运行许多操作的客户端应用程序,这导致内存显著增加,因为分配的内存没有在连接关闭之前被释放。有了此更新,只要操作完成了,为操作分配的内存就会马上释放。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
有了此更新,区分大小写的比较被忽略大小写字符的不区分大小写的比较所替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
如果在更改密码期间没有保留宽限登录,SSSD 将正确返回一个错误
在以前的版本中,如果用户的 LDAP 密码已过期,SSSD 会在用户的初始绑定失败后尝试更改密码,因为没有剩下更多的宽限登录。但是,返回给用户的错误没有指示失败的原因。在这个版本中,如果绑定失败,则更改密码的请求会被取消,SSSD 会返回一条错误消息,表示没有更多宽限期,并且必须以其他方式更改密码。
使用 realm leave 命令从域中删除系统
在以前的版本中,如果在 sssd.conf 文件中为 ad_server 选项设置了多个名称,则运行 realm leave 命令会导致解析错误,且系统也不会从域中删除。有了此更新, ad_server 选项被正确评估,正确的域控制器名称被使用,且系统被正确从域中删除。
KCM 记录到正确的 sssd.kcm.log 文件中
在以前的版本中,logrotate 可以正确地轮转 Kerberos 凭据管理器(KCM)日志文件,但 KCM 会错误地将日志写入旧日志文件 sssd_kcm.log.1 中。如果 KCM 重启了,它会使用正确的日志文件。有了此更新,在 logrotate 被调用后,日志文件会轮转,KCM 可以正确地记录到 sssd_kcm.log 文件中。
realm leave --remove 命令不再要求凭证
在以前的版本中,在运行 realm leave 操作时,realm 工具不会正确检查是否有一个有效的 Kerberos 票据。因此,即使有一个有效的 Kerberos 票据,用户也被要求输入密码。有了此更新,realm 现在可以正确验证是否有一个有效的 Kerberos 票据,在运行 realm leave --remove 命令时,不再要求用户输入密码。
IdM Vault 加密和解密不再在 FIPS 模式下失败
在以前的版本中,IdM Vault 使用 OpenSSL RSA-PKCS1v15 作为默认的填充包装算法。但是,RHEL 中没有一个 FIPS 认证的算法支持 PKCS#1 v1.5 作为 FIPS 批准的模块,导致 IdM Vault 在 FIPS 模式下失败。有了此更新,IdM Vault 支持 RSA-OAEP 填充包装算法作为回退。因此,IdM Vault 加密和解密现在可以在 FIPS 模式下正常工作。
Jira:RHEL-12153[1]
配置了服务器关联性的 CA IdM 副本安装不再失败
在某些情况下,安装没有证书颁发机构(CA)的 IdM 副本会失败,并显示 CA_REJECTED 错误。失败由于 certmonger 服务试图检索证书而发生,并在向复杂拓扑添加新副本时导致不完整的复制详情。
有了此更新,IdM 副本安装过程针对特定的 IdM 服务器而发生,后者提供了必要的服务,如 Kerberos 身份验证、IdM API 和 CA 请求。这在添加新副本时确保完整的复制详情。
Kerberos 密钥分发中心版本 1.20 及更新版本现在处理运行 1.18.2 及更早版本的 KDC 中生成的票据
在以前的版本中,兼容性问题在运行 Kerberos 版本 1.20 或更高版本的密钥分发中心(KDC)和运行 1.18.2 或更早版本的 KDC 之间发生。因此,当运行 Kerberos 1.20 或更高版本的 KDC 签发的证据票据被发送到运行 Kerberos 1.18.2 或更早版本的 KDC 时,旧的 KDC 会拒绝票据授予服务请求,因为它缺少对 AD-SIGNTICKET 属性的支持。
有了这个更新,KDC 的早期版本现在接受运行 Kerberos 1.20 及更新版本的 KDC 生成的证据票据,因为它们在特权属性证书(PAC)存在时,不再需要 AD-SIGNTICKET。
dirsrv 文件的 SELinux 标签被移到 DEBUG 日志级别
在以前的版本中,dirsrv 文件的 SELinux 标签具有 INFO 日志级别。有了此更新,用于 dirsrv 文件的 DEBUG 日志级别与用于之前版本中的一样。
当后端被配置为没有相关的后缀时,目录服务器不再导致分段错误
在以前的版本中,如果后端被配置为没有相关的后缀,则目录服务器在启动过程中会有一个分段错误。有了此更新,目录服务器会在尝试访问后缀前检查后缀是否与后端关联。因此,不再发生分段错误。
在放弃分页结果搜索后,目录服务器不再失败
在以前的版本中,在放弃分页结果搜索过程中,竞争条件是堆崩溃和目录服务器失败的原因。有了此更新,竞争条件被修复,目录服务器失败不再发生。
如果您为连接表大小配置了一个自定义值,则目录服务器现在可在升级后正确启动
在以前的版本中,如果您为连接表大小设置了一个自定义值,且 dse.ldif 文件中存在 nsslapd-conntablesize 属性,则目录服务器不会在升级后启动。有了此版本,目录服务器可以在使用 dse.ldif 文件中存在的 nsslapd-conntablesize 升级后正确启动。
当内容同步插件被动态启用时,目录服务器不再失败
在以前的版本中,如果内容同步插件被动态启用,则后操作插件回调导致一个分段错误,因为预操作回调没有注册。有了此更新,后操作插件回调验证内存是否被初始化了,目录服务器不再失败。
