4.12. 身份管理


SSSD 现在支持 SID 请求的内存缓存

有了这个增强,SSSD 现在支持 SID 请求的内存缓存,它们是按 SID 查询的 GID 和 UID ,反之亦然。内存缓存提高了性能,例如,当向或从 Samba 服务器拷贝大量文件时。

(JIRA:RHELPLAN-123369)

IdM 现在支持使用 Windows Server 2022 配置 AD Trust

有了这个增强,您可以在身份管理(IdM)域和使用运行 Windows Server 2022 的域控制器的活动目录林之间建立跨林信任。

(BZ#2122716)

IdM 现在支持在用户密码过期后对允许的 LDAP 绑定数量的限制

有了这个增强,当身份管理(IdM)用户的密码已过期时,您可以设置允许 LDAP 绑定的数量:

-1
在用户必须重置密码之前,IdM 授予用户无限的 LDAP 绑定。这是默认值,与之前的行为匹配。
0
一旦密码过期,这个值会禁用所有 LDAP 绑定。生效时,用户必须立即重置其密码。
1-MAXINT
输入的值可以完全允许许多绑定后过期。

该值可以在全局密码策略和组策略中设置。

请注意,计数为每个服务器存储。

要让用户重置自己的密码,他们需要与其当前到期的密码绑定。如果用户已耗尽所有到期后绑定,则必须由管理员重置密码。

(BZ#782917)

IdM 现在指示在名称搜索过程中给定的名称是否是可信 AD 域中的用户或组

有了这个更新,新的 getorigbyusername ()getorigbygroupname () 调用被添加到 libsss_nss_idmap ,一个基于 SID 查询的工具库。当身份管理(IdM)处于与活动目录(AD)域的信任之中时,这个添加使用户和组查找更加健壮。当执行用户或组查找时,IdM 现在可以显示是否指定的名称属于可信域中的用户或组。

(BZ#2062379)

新的 ipasmartcard_serveripasmartcard_client 角色

有了这个更新,ansible-freeipa 软件包提供了 Ansible 角色来配置身份管理(IdM)服务器和客户端,以进行智能卡验证。ipasmartcard_serveripasmartcard_client 角色替代了 ipa-advise 脚本来自动化和简化集成。使用与其它 ansible-freeipa 角色相同的清单和命名方案。

(BZ#2076554)

samba rebase 到版本 4.16.1

samba 软件包升级至上游版本 4.16.1,它提供程序错误修复和增强:

  • 默认情况下,smbd 进程会根据需要自动启动新的 samba-dcerpcd 进程,来为分布式计算环境/远程过程调用(DCERPC)提供服务。请注意,Samba 4.16 及更高版本始终需要 samba-dcerpcd 来使用 DCERPC。如果您在 /etc/samba/smb.conf 文件中的 [global] 部分中禁用了 rpc start on require helpers 设置,则您必须创建一个 systemd 服务单元来在独立模式下运行 samba-dcerpcd
  • Cluster Trivial Database (CTDB) recovery master 角色已被重命名为 leader。因此,以下 ctdb 子命令被重命名为:

    • recmaster 变为 leader
    • setrecmasterrole 变为 setleaderrole
  • CTDB recovery lock 配置已被重命名为 cluster lock
  • CTDB 现在使用领导广播和关联的超时来确定是否需要选举。

请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1) 协议已被弃用,并将在以后的版本中删除。

在启动 Samba 前备份数据库文件。当 smbdnmbdwinbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。

更新 Samba 后,使用 testparm 工具验证 /etc/samba/smb.conf 文件。

有关显著变化的更多信息,请在更新前阅读 上游发行注记

(BZ#2077468)

SSSD 现在支持直接与 Windows Server 2022 集成

有了这个增强,您可以使用 SSSD 将 RHEL 系统直接与使用运行 Windows Server 2022 的域控制器的活动目录林集成。

(BZ#2070793)

目录服务器现在支持取消 Auto Membership 插件任务。

在以前的版本中,如果目录服务器有复杂的配置(大的组、复杂的规则以及与其他插件的交互),则 Auto Membership 插件任务会在服务器上产生很高的 CPU 使用率。有了这个增强,您可以取消 Auto Membership 插件任务。因此,性能问题不会再发生。

(BZ#2052528)

目录服务器现在在使用 ldapdelete 时支持递归删除操作

在这个版本中,Directory 服务器支持 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 控制。因此,您可以使用 ldapdelete 程序以递归方式删除父条目的子条目。

(BZ#2057063)

现在,您可以在目录服务器安装过程中设置基本复制选项

有了这个增强,您可以在实例安装过程中使用 .inf 文件配置基本复制选项,如身份验证凭证和 changelog 修剪。

(BZ#2057066)

现在,在目录服务器中默认启用复制 changelog 修剪

在以前的版本中,目录服务器没有配置为默认自动修剪 changelog 文件。因此,changelog 文件可能会变得非常大。有了这个更新,目录服务器默认配置为修剪 7 天前的 changelog 条目,从而防止 changelog 文件的过度增长。

(BZ#2062679)

pki 软件包重命名为 idm-pki

以下 pki 软件包现在被重命名为 idm-pki,以更好地区分 IDM 软件包和 Red Hat 证书系统软件包:

  • idm-pki-symkey
  • idm-pki-tools
  • idm-pki-symkey-debuginfo
  • idm-pki-tools-debuginfo
  • idm-pki-acme
  • idm-pki-base
  • idm-pki-base-java
  • idm-pki-ca
  • idm-pki-kra
  • idm-pki-server
  • python3-idm-pki

pki-core 保持不变(这还包括 pki-core-debuginfopki-core-debugsource)。

(BZ#2139821)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.