5.11. 身份管理
使用 OpenSSL 传统供应商的 MS-CHAP 验证
在以前的版本中,使用 MS-CHAP 的 FreeRADIUS 身份验证机制会失败,因为它们依赖于 MD4 hash 功能,而 MD4 已在 RHEL 9 中弃用。在这个版本中,如果您启用了 OpenSSL 旧供应商,您可以使用 MS-CHAP 或 MS-CHAPv2 验证 FreeRADIUS 用户。
如果您使用默认 OpenSSL 供应商、MS-CHAP 和 MS-CHAPv2 验证失败,并显示以下出错信息,显示这个修复:
Couldn't init MD4 algorithm. Enable OpenSSL legacy provider.
运行 sudo 命令不再导出 KRB5CCNAME 环境变量
在以前的版本中,在运行 sudo 命令后,环境变量 KRB5CCNAME 指向原始用户的 Kerberos 凭证缓存,这些信息可能无法被目标用户访问。因此,与 Kerberos 相关的操作可能会失败,因为这个缓存无法访问。在这个版本中,运行 sudo 命令不再设置 KRB5CCNAME 环境变量,目标用户可以使用它们的默认 Kerberos 凭证缓存。
(BZ#1879869)
SSSD 可以正确地评估 /etc/krb5.conf 中 Kerberos keytab 名称的默认设置
在以前的版本中,如果您为 krb5.keytab 文件定义了一个非标准位置,SSSD 不会使用此位置,并使用默认的 /etc/krb5.keytab 位置。因此,当您试图登录系统时,登录会失败,因为 /etc/krb5.keytab 不包含条目。
在这个版本中,SSSD 会评估 /etc/krb5.conf 中的 default_keytab_name 变量,并使用此变量指定的位置。如果未设置 default_keytab_name 变量,SSSD 仅使用默认的 /etc/krb5.keytab 位置。
(BZ#1737489)
现在,使用 PBKDF2 算法以 FIPS 模式验证目录服务器可以正常工作
当目录服务器在联邦信息处理标准(FIPS)模式下运行时,K11_ExtractKeyValue() 函数不可用。因此,在更新之前,启用了 FIPS 模式时,使用基于密码的身份验证功能 2(PBKDF2)算法无法向服务器进行身份验证。有了这个更新,目录服务器使用 PK11_Decrypt() 函数来获取密码哈希数据。因此,使用 PBKDF2 算法哈希的密码验证现在可以正常工作。
