8.12. 身份管理
现在,对外部 IdP 进行身份验证都需要客户端 secret
在以前的版本中,SSSD 无法正确将客户端 secret 传给外部身份提供者(IdP)。因此,针对之前使用 ipa idp-add --secret
命令配置的需要一个客户端 secret 的外部 IdP 的身份验证会失败。有了这个更新,SSSD 将客户端 secret 传给 IdP,用户可以进行身份验证。
Jira:RHELPLAN-148303
IdM 现在支持使用 Ansible 为 sudo
规则设置 hostmask
在以前的版本中,ipa sudorule-add-host
命令允许设置 sudo
规则使用的 hostmask,但此选项没有出现在 ansible-freeipa
软件包中。有了这个更新,您现在可以使用 ansible-freeipa
hostmask
变量定义一个 hostmask 的列表,以便身份管理中定义的一个特定的 sudo
规则应用于此表。
现在,您可以使用 Ansible 自动为 IdM sudo
规则设置主机掩码。
现在,当使用带有 db_dir
参数的自定义路径时,dscreate
工具现在可以正常工作
在以前的版本中,使用自定义目录路径的实例启动失败,因为自定义目录有错误的 SELinux 标签。因此,SELinux 拒绝访问这些目录,实例没有被创建。有了这个版本,dscreate
工具为自定义实例目录设置正确的 SELinux 标签。
目录服务器复制管理器帐户的密码更改现在可以正常工作
在以前的版本中,更改密码后,目录服务器无法正确更新复制协议的密码缓存。因此,当您更改复制管理器帐户的密码时,复制会失败。有了这个更新,目录服务器可以正确地更新缓存,因此复制可以按预期工作。
IdM 客户端安装程序不再在 ldap.conf
文件中指定 TLS CA 配置
在以前的版本中,IdM 客户端安装程序在 ldap.conf
文件中指定 TLS CA 配置。有了这个更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf
文件中设置 TLS CA 配置。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
随着 RHBA-2023:4359 的发布,区分大小写的比较被忽略字符大小写的不区分大小写的比较替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
JIRA:SSSD-6096