8.10. 身份管理
SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName
在以前的版本中,如果 ldap_user_name 在 AD 客户端上被设置为 sAMAccountName 以外的值,则基于 GPO 的访问控制失败。有了此更新,在评估基于 GPO 的访问控制时,SSSD 总是使用 sAMAccountName。即使 ldap_user_name 在 AD 客户端上被设置为与 sAMAccountName 不同的值,基于 GPO 的访问控制现在也可以正常工作。
SSSD 现在在检索用户时可以处理 user_attributes 选项中的重复属性
在以前的版本中,如果 sssd.conf 在 user_attributes 选项中包含重复属性,则 SSSD 无法正确处理这些重复。因此,无法检索具有这些属性的用户。有了此更新,SSSD 可以正确处理重复。因此,现在可以检索具有重复属性的用户。
更改安全参数现在可以正常工作
在以前的版本中,当使用 dsconf instance_name security set 命令更改安全参数时,操作会失败并显示错误:
Name 'log' is not defined
有了此更新,security 参数更改可以正常工作。
目录服务器现在根据打开的描述符的最大数计算 dtablesize
在以前的版本中,管理员可以使用 nsslapd-conntablesize 配置参数手动设置连接表大小。因此,当连接表大小设置的太低时,它会影响服务器可以支持的连接数。有了这个更新,目录服务器现在可以动态计算连接表的大小,从而有效地解决了连接表大小太小的问题。另外,您不再需要手动更改连接表大小。
dsctl healthcheck 命令现在默认使用密码存储模式 PBKDF2-SHA512
在以前的版本中,dsctl healthcheck 命令默认使用 SSHA512 密码存储模式。因此,命令会报一个警告,因为它不能检测新的密码存储模式 PBKDF2-SHA512。有了此更新,dsctl healthcheck 命令现在默认使用 PBKDF2-SHA512 密码存储模式,且不会发生警告。
现在,常规用户的分页搜索不会影响性能
在以前的版本中,当目录服务器位于搜索负载下时,常规用户的分页搜索可能会影响服务器性能,因为锁与轮询网络事件的线程发生冲突。另外,如果在发送页搜索时发生网络问题,则整个服务器都没有响应,直到 nsslapd-iotimeout 参数过期为止。有了此更新,锁被分成几个部分,以避免与网络事件争用。因此,在常规用户的分页搜索过程中不会影响性能。
现在,您可以如预期在目录服务器中启用和禁用密码
在以前的版本中,当您试图使用 Web 控制台启用或禁用默认密码之外启用或禁用特定密码时,服务器只启用或禁用特定的密码,并记录类似如下的错误:
Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+cipher_name>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)
目前,网络安全服务(NSS)不支持同时处理默认密码和特定密码。因此,目录服务器可以启用或禁用特定的密码或默认密码。有了此更新,当您设置默认密码时,web 控制台现在提示 Allow Specific Ciphers 和 Deny Specific Ciphers 字段将被清除。
现在不再允许删除 IdM admin 用户
在以前的版本中,如果您是 admins 组的成员,则无法阻止您删除身份管理(IdM) admin 用户。缺少 admin 用户会导致 IdM 和活动目录 (AD)之间的信任停止正常工作。有了此更新,您不再可以删除 admin 用户。因此,IdM-AD 信任可以正常工作。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
随着 RHBA-2023:4525 的发布,不区分大小写的比较将被忽略字符大小写的不区分大小写比较所替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
JIRA:SSSD-6096
