6.12. 身份管理
现在,当一个操作完成时释放的内存
在以前的版本中,在连接关闭前,每个操作分配的 KCM 内存不会被释放。因此,对于打开连接并在同一个连接上运行许多操作的客户端应用程序,可能会导致内存增加,因为分配的内存在连接关闭前没有被释放。在这个版本中,在操作完成后,为操作分配的内存会马上发布。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
在这个版本中,区分大小写的比较被替换为忽略字符大小写的不区分大小写比较。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
如果在更改密码时没有保留宽限期,SSSD 会正确返回错误
在以前的版本中,如果用户的 LDAP 密码已过期,SSSD 会在用户的初始绑定失败后尝试更改密码,因为没有更多宽限期。但是,返回到用户的错误没有指示失败的原因。在这个版本中,如果绑定失败,对更改密码的请求会被中止,SSSD 会返回一条错误消息,指示没有更多安全登录,且密码必须被另一个方式更改。
使用 realm leave 命令从域中删除系统
在以前的版本中,如果为 sssd.conf 文件中的 ad_server 选项设置了多个名称,运行 realm leave 命令会导致解析错误,系统也不会从域中删除。在这个版本中,会正确评估 ad_server 选项,并使用正确的域控制器名称,并且系统从域中正确删除。
现在,当处理常规受限委托请求时,KDC 会运行额外的检查
在以前的版本中,在 Red Hat Enterprise Linux 8 上运行的 KDC 发布的 Kerberos 票据中的 正向 标记存在安全漏洞,允许在不检测的情况下进行未经授权的修改。此漏洞可能会导致模拟攻击,即使没有特定权限的用户也是如此。在这个版本中,KDC 会在处理常规受限委托请求时运行额外的检查,确保检测并拒绝未授权标记修改,从而删除漏洞。
Jira:RHEL-9984[1]
在为域生成 SID 时,对 forwardable 标记进行检查已被禁用
在以前的版本中,为 CVE-2020-17049 提供修复的更新依赖于 Kerberos PAC,以便在 KDC 处理常规受限委托请求时对 ticket forwardable 标记运行某些检查。但是,PAC 仅在过去执行 SID 生成任务的域中生成。虽然此任务会自动对在 Red Hat Enterprise Linux (RHEL) 8.5 及更新版本上创建的所有 IdM 域自动执行,但在旧版本上初始化的域需要手动执行此任务。
如果 SID 生成任务不是为 RHEL 8.4 和更早版本上初始化的 IdM 域手动执行,则 PAC 将缺少在 Kerberos 票据上,从而导致所有常规的委托请求都拒绝。这包括 IdM 的 HTTP API,它依赖于一般受限委托。
在这个版本中,如果没有为域生成 SID,则对 forwardable 标记的检查被禁用。依赖于一般受限委托的服务(包括 IdM HTTP API)继续工作。但是,红帽建议尽快在域中运行 SID 生成任务,特别是当域配置了自定义常规委派规则时。在完成此操作前,域仍然容易受到 CVE-2020-17049 的影响。
IdM Vault 加密和解密不再在 FIPS 模式下失败
在以前的版本中,IdM Vault 使用 OpenSSL RSA-PKCS1v15 作为默认的 padding wrapping 算法。但是,RHEL 中没有支持 PKCS#1 v1.5 作为 FIPS 批准算法中的 FIPS 认证模块,从而导致 IdM Vault 在 FIPS 模式下失败。在这个版本中,IdM Vault 支持 RSA-OAEP padding wrapping 算法作为回退。因此,IdM Vault 加密和解密现在可以在 FIPS 模式下正常工作。
Jira:RHEL-12143[1]
IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置
在以前的版本中,IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。
