8.13. 身份管理
ipa user-del --preserve user_login 输出不再表示该用户已被删除
在以前的版本中,如果您运行 ipa user-del --preserve user_login 命令来保留用户帐户,输出会错误地返回信息 Deleted user "user_login"。在这个版本中,输出会返回 Preserved user “user_login”。
PKINIT 用户身份验证现在可以在 RHEL 9 Kerberos 客户端中正常工作 - Heimdal KDC 场景
在以前的版本中,在 RHEL 9 Kerberos 客户端中针对 Heimdal Kerberos 分发中心 (KDC) 的 IdM 用户进行 PKINIT 身份验证会失败。发生这种情况的原因是 Kerberos 客户端不支持 RHEL 9 中弃用 SHA-1 算法上下文中所需的 supportedCMSTypes 字段。
在这个版本中,在从 PKINIT 到 Heimdal KDC 的过程中,RHEL 9 Kerberos 客户端会发送了一个签名算法列表,包括 sha512WithRSAEncryption, 和 sha256WithRSAEncryption 作为 supportedCMSTypes。Heimdal KDC 使用 sha512WithRSAEncryption,因此 PKINIT 身份验证可以正常工作。
处理 LDAP 组成员列表中的非可读对象
在此次更新之前,SSSD 不一致地处理 LDAP 组成员列表中不可读对象,这会导致不可读对象出错或在某些情况下不可读对象被忽略。
有了这个更新,SSSD 有一个新的选项 ldap_ignore_unreadable_references 来修改此行为。如果 ldap_ignore_unreadable_references 选项被设为 false,则不可读对象会导致错误,如果设为 true,则不可读对象会被忽略。默认值被设为 false,因为更新后原始不一致的行为,一些组查找可能会失败。在这种情况下,在 /etc/sssd/sssd.conf 文件中对应的 [domain/name of the domain] 部分中设置 ldap_ignore_unreadable_references = True。
这允许以一致方式处理不可读对象,并使用新的 ldap_ignore_unreadable_references 选项调优行为。
