6.11. 身份管理
ipa-replica-manage
命令不会在强制复制过程中重置 nsslapd-ignore-time-skew
设置
在以前的版本中,ipa-replica-manage
force-sync
命令将 nsslapd-ignore-time-skew
设置重置为 off
,而不考虑配置的值。在这个版本中,nsslapd-ignore-time-skew
设置在强制复制过程中不再被覆盖。
Jira:RHEL-52300[1]
ipa idrange-add
命令现在警告目录服务器必须在所有 IdM 服务器上重启
在以前的版本中,ipa idrange-add
命令不会警告管理员,他们必须在创建新范围后在所有 IdM 服务器上重启目录服务器(DS)服务。因此,管理员有时使用属于新范围的 UID 或 GID 创建了一个新用户或组,无需重启 DS 服务。这个添加导致新用户或组没有被分配 SID。有了此更新,需要在所有 IdM 服务器上重启 DS 的警告被添加到命令输出中。
Jira:RHELDOCS-18201[1]
Certmonger
现在可以正确地更新隐藏的副本中的 KDC 证书
在以前的版本中,当证书即将过期时,certmonger
无法在隐藏的副本中更新 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC。在这个版本中,隐藏的副本被视为活跃的 KDC,certmonger
会在这些服务器上成功更新 KDC 证书。
Jira:RHEL-39477[1]
AD 管理员现在可以部署 IdM 副本
在以前的版本中,在安装 RHEL 身份管理(IdM)副本的过程中,检查提供的 Kerberos 主体是否有所需的特权,没有扩展检查用户 ID 覆盖。因此,当尝试使用具有具有所需特权的 ID 覆盖的 AD 管理员的凭证部署副本时,副本连接检查会失败。
在这个版本中,检查是否有具有所需权限的主体的 ID 覆盖。现在,您可以使用配置为充当 IdM 管理员的 AD 管理员凭证部署副本。
请注意,这个修复也适用于 ansible-freeipa
。
对本地用户缓存的 shadow-utils
和 sss_cache
之间的集成被禁用
在 RHEL 9 中,SSSD 隐式 文件
提供程序域(从本地文件(如 /etc/shadow
)和来自 /etc/groups
的组信息)被默认禁用。但是,shadow-utils
中的集成没有完全禁用,这会导致在添加或删除本地用户时调用 sss_cache
。不必要的缓存更新会导致某些用户的性能问题。在这个版本中,shadow-utils
与 sss_cache
集成被完全禁用,且因为不必要的缓存更新导致的性能问题不再发生。
Jira:RHEL-56352, Jira:RHELPLAN-100639
目录服务器不再忽略 nsslapd-idletimeout
在以前的版本中,如果非 Directory Manager 用户打开连接,Directory 服务器可能会忽略 nsslapd-idletimeout
值,且在指定时间后不会关闭连接。在这个版本中,Directory 服务器在到达配置的空闲时间后按预期关闭连接。
Jira:RHEL-17511[1]
搜索操作现在可以更快地返回大型组
在以前的版本中,如果搜索大型静态组使用包含与 uniquemember
属性 相等 组件的过滤器,例如 '(uniquemember=uid=foo,ou=body,<suffix>)'
,此类搜索会较慢,且 CPU 密集型。在这个版本中,在搜索过滤器评估过程中,Directory 服务器使用内部结构,其中成员可分辨名称(DN)被排序,从而可以更快地搜索大组且较少的 CPU 密集型。
Jira:RHEL-49454[1]
一级范围的搜索不再无法返回子修复
在以前的版本中,当运行 ldapsearch
命令时,将 a -s
选项设置为 1
时,搜索结果不包含在 -b
选项中指定的条目的子后缀。在这个版本中,一个级别的搜索可以成功返回条目的子级。
referential Integrity 插件不再会导致服务器失败
在以前的版本中,当您将 referential Integrity 插件与延迟检查搭配使用时,处理检查的线程可能会在关闭时访问发布的数据结构,从而导致服务器失败。在这个版本中,插件不再释放数据结构,直到延迟检查线程停止且没有失败为止。
dscreate ds-root
命令现在接受相对路径
在以前的版本中,当尝试以非 root 用户身份创建实例时,并提供包含相对路径的 bin_dir
参数值时,相对路径被写入 defaults.inf
文件,从而导致实例创建失败。在这个版本中,当您提供相对路径作为 bin_dir
参数值时,实例现在可以成功创建。
现在,离线导入 LDIF 文件现在可以正常工作
在以前的版本中,在离线导入缓存自动调整操作前,不会触发缓存自动调整操作。因此,当由 ldif2db
脚本执行时,导入操作会较慢。在这个版本中,Directory 服务器会在 ldif2db
操作增加导入性能前触发缓存自动调整。
dsconf schema matchingrules list
命令现在显示新的 inchainMatch
匹配规则
在以前的版本中,dsconf
工具没有在匹配规则列表中显示 supported
匹配规则,因为chainMatch 是没有匹配语法注册的。在这个版本中,定义了 inchainMatch
inchainMatch
的语法,在运行 dsconf schema matchingrules list
命令时,列表中会显示 inchainMatch
。
IdM 客户端安装程序不再在 ldap.conf
文件中指定 TLS CA 配置
在以前的版本中,IdM 客户端安装程序在 ldap.conf
文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf
文件中设置 TLS CA 配置。