8.11. 身份管理

ipa-replica-manage 命令不再在强制复制过程中重置 nsslapd-ignore-time-skew 设置

在以前的版本中，ipa-replica-manage force-sync 命令将 nsslapd-ignore-time-skew 设置重置为 off，而不考虑配置的值。有了此更新，nsslapd-ignore-time-skew 设置在强制复制过程中不再被覆盖。

ipa idrange-add 命令现在警告目录服务器必须在所有 IdM 服务器上重启

在以前的版本中，ipa idrange-add 命令不会警告管理员，他们必须在创建新范围后在所有 IdM 服务器上重启目录服务器(DS)服务。因此，管理员有时使用属于新范围的 UID 或 GID 创建了一个新用户或组，无需重启 DS 服务。这个添加导致新用户或组没有被分配 SID。有了此更新，需要在所有 IdM 服务器上重启 DS 的警告被添加到命令输出中。

Certmonger 现在可以正确地更新隐藏的副本上的 KDC 证书

在以前的版本中，当证书即将过期时，certmonger 无法更新隐藏的副本上的 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC 而导致的。有了此更新，隐藏的副本被视为活跃的 KDC，certmonger 可以在这些服务器上成功更新 KDC 证书。

AD 管理员现在可以部署 IdM 副本

在以前的版本中，在安装 RHEL 身份管理(IdM)副本的过程中，检查提供的 Kerberos 主体是否有所需的特权，不会扩展到检查用户 ID 覆盖。因此，当尝试使用具有所需特权的 ID 覆盖的 AD 管理员的凭证部署副本时，副本连接检查会失败。

目录服务器不再忽略 nsslapd-idletimeout

在以前的版本中，如果连接由非目录管理器用户打开，则目录服务器可能会忽略 nsslapd-idletimeout 值，并在指定时间后不会关闭连接。有了此更新，目录服务器在到达配置的空闲时间后会按预期关闭连接。

搜索操作现在可以更快地返回大型组

在以前的版本中，如果大型静态组的搜索使用包含与带有 uniquemember 属性的组件匹配的 equality 的过滤器，例如 '(uniquemember=uid=foo,ou=body,<suffix>)'，则此类搜索会较慢，且占用大量 CPU。有了此更新，在搜索过滤器评估过程中，目录服务器使用内部结构，其中对成员可分辨名称（DN）进行排序，从而使大型组的搜索更快，且占用更少的 CPU 。

一级范围的搜索不再无法返回子后缀

在以前的版本中，当使用设置为 one 的 -s 选项运行 ldapsearch 命令时，搜索结果不包含 -b 选项中指定的条目的子后缀。有了此更新，一级范围的搜索可以成功返回条目的直接子级。

Referential Integrity 插件不再导致服务器失败

在以前的版本中，当您将 Referential Integrity 插件与延迟检查一起使用时，处理检查的线程可能会在关闭时访问发布的数据结构，从而导致服务器失败。有了此更新，插件不再释放数据结构，直到延迟检查线程停止，且没有失败发生为止。

dscreate ds-root 命令现在接受相对路径

在以前的版本中，当尝试以非 root 用户身份创建实例，并提供一个包含相对路径的 bin_dir 参数值时，相对路径被写到 defaults.inf 文件，从而导致实例创建失败。有了此更新，当您提供相对路径作为 bin_dir 参数值时，实例现在可以成功创建。

离线导入 LDIF 文件现在可以正常运行

在以前的版本中，在离线导入前，不会触发缓存自动调优操作。因此，当由 ldif2db 脚本执行时，导入操作会很慢。有了此更新，目录服务器会在 ldif2db 操作之前触发缓存自动调优，以提高导入性能。

dsconf schema matchingrules list 命令现在显示新的 inchainMatch 匹配规则

在以前的版本中，dsconf 工具不显示匹配规则列表中支持的 inchainMatch 匹配规则，因为 inchainMatch 是在没有匹配语法的情况下注册的。有了此更新，定义了 inchainMatch 的语法，在运行 dsconf schema matchingrules list 命令时，会在列表中显示 inchainMatch。

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中，IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新，OpenSSH 使用默认的信任存储，IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。