7.10. Identity Management
在运行 bootstrap 脚本时,FreeRADIUS 不再错误地生成默认证书
每次启动 FreeRADIUS 时,bootstrap 脚本都运行。在以前的版本中,该脚本会在 /etc/raddb/certs 目录中生成新的测试证书,因此 FreeRADIUS 服务器有时无法启动,因为这些测试证书无效。例如,证书可能已过期。在这个版本中,bootstrap 脚本会检查 /etc/raddb/certs 目录,如果它包含任何测试或客户证书,该脚本不会运行,并且 FreeRADIUS 服务器应该可以正确启动。
请注意,测试证书只在配置 FreeRADIUS 时测试目的,不应用于实际环境中。使用用户证书后,应删除 bootstrap 脚本。
FreeRADIUS 不再无法创建内核转储文件
在以前的版本中,当 allow_core_dumps 被设置为 yes 时,FreeRADIUS 不会创建内核转储文件。因此,不会在任何进程失败时创建核心转储文件。在这个版本中,当将 allow_core_dumps 设置为 yes 时,FreeRADIUS 现在会在任何进程失败时创建一个核心转储文件。
SSSD 可以正确地评估 /etc/krb5.conf 中 Kerberos keytab 名称的默认设置
在以前的版本中,如果您为 krb5.keytab 文件定义了一个非标准位置,SSSD 不会使用此位置,并使用默认的 /etc/krb5.keytab 位置。因此,当您试图登录系统时,登录会失败,因为 /etc/krb5.keytab 不包含条目。
在这个版本中,SSSD 会评估 /etc/krb5.conf 中的 default_keytab_name 变量,并使用此变量指定的位置。如果未设置 default_keytab_name 变量,SSSD 只使用默认的 /etc/krb5.keytab 位置。
(BZ#1737489)
运行 sudo 命令不再导出 KRB5CCNAME 环境变量
在以前的版本中,在运行 sudo 命令后,环境变量 KRB5CCNAME 指向原始用户的 Kerberos 凭证缓存,这些信息可能无法被目标用户访问。因此,与 Kerberos 相关的操作可能会失败,因为这个缓存无法访问。在这个版本中,运行 sudo 命令不再设置 KRB5CCNAME 环境变量,目标用户可以使用它们的默认 Kerberos 凭证缓存。
(BZ#1879869)
Kerberos 现在只请求允许的加密类型
在以前的版本中,如果未设置 default_tgs_enctypes 或 default_tkt_enctypes 参数,则 RHEL 不会应用在 /etc/krb5.conf 文件中的permitted_enctypes 参数中指定的允许的加密类型。因此,Kerberos 客户端可以请求弃用的密码套件,如 RC4,这可能会导致其他进程失败。在这个版本中,RHEL 也会将在 permitted_enctypes 中设置的加密类型应用到默认加密类型,进程只能请求允许的加密类型。
如果您使用 Red Hat Identity Management(IdM)并希望使用 Active Directory(AD)设置信任,请注意 RC4 密码套件(在 RHEL 8 中已弃用)是 AD 林中 AD 域的默认加密类型。您可以使用以下选项之一:
- (首选):在 AD 中启用强大的 AES 加密类型。详情请查看 AD DS:Security:Kerberos "Unsupported etype" error when accessing a resource in a trusted domain Microsoft 文档。
-
在 RHEL 主机上使用
update-crypto-policies --set DEFAULT:AD-SUPPORT命令(应该为 AD 域的成员)启用已弃用的 RC4 加密类型,以便向后兼容 AD。
复制会话更新速度现已提高
在以前的版本中,当 changelog 包含较大的更新时,复制会话从 changelog 的开始启动。这会减慢会话速度。造成这个问题的原因是,在复制会话期间,使用了小缓冲区存储来自 changelog 的更新。在这个版本中,复制会话会检查缓冲区是否足够大,以便首先存储更新。复制会话会立即开始发送更新。
现在启用插件创建的数据库索引
在以前的版本中,当服务器插件创建自己的数据库索引时,您必须手动启用这些索引。在这个版本中,索引会在创建后立即启用。
