6.11. 身份管理


ipa-replica-manage 命令不会在强制复制过程中重置 nsslapd-ignore-time-skew 设置

在以前的版本中,ipa-replica-manage force-sync 命令将 nsslapd-ignore-time-skew 设置重置为 off,而不考虑配置的值。在这个版本中,nsslapd-ignore-time-skew 设置在强制复制过程中不再被覆盖。

Jira:RHEL-52300[1]

ipa idrange-add 命令现在警告目录服务器必须在所有 IdM 服务器上重启

在以前的版本中,ipa idrange-add 命令不会警告管理员,他们必须在创建新范围后在所有 IdM 服务器上重启目录服务器(DS)服务。因此,管理员有时使用属于新范围的 UID 或 GID 创建了一个新用户或组,无需重启 DS 服务。这个添加导致新用户或组没有被分配 SID。有了此更新,需要在所有 IdM 服务器上重启 DS 的警告被添加到命令输出中。

Jira:RHELDOCS-18201[1]

Certmonger 现在可以正确地更新隐藏的副本中的 KDC 证书

在以前的版本中,当证书即将过期时,certmonger 无法在隐藏的副本中更新 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC。在这个版本中,隐藏的副本被视为活跃的 KDC,certmonger 会在这些服务器上成功更新 KDC 证书。

Jira:RHEL-39477[1]

AD 管理员现在可以部署 IdM 副本

在以前的版本中,在安装 RHEL 身份管理(IdM)副本的过程中,检查提供的 Kerberos 主体是否有所需的特权,没有扩展检查用户 ID 覆盖。因此,当尝试使用具有具有所需特权的 ID 覆盖的 AD 管理员的凭证部署副本时,副本连接检查会失败。

在这个版本中,检查是否有具有所需权限的主体的 ID 覆盖。现在,您可以使用配置为充当 IdM 管理员的 AD 管理员凭证部署副本。

请注意,这个修复也适用于 ansible-freeipa

Jira:RHEL-26261

对本地用户缓存的 shadow-utilssss_cache 之间的集成被禁用

在 RHEL 9 中,SSSD 隐式 文件 提供程序域(从本地文件(如 /etc/shadow )和来自 /etc/groups 的组信息)被默认禁用。但是,shadow-utils 中的集成没有完全禁用,这会导致在添加或删除本地用户时调用 sss_cache。不必要的缓存更新会导致某些用户的性能问题。在这个版本中,shadow-utilssss_cache 集成被完全禁用,且因为不必要的缓存更新导致的性能问题不再发生。

Jira:RHEL-56352, Jira:RHELPLAN-100639

目录服务器不再忽略 nsslapd-idletimeout

在以前的版本中,如果非 Directory Manager 用户打开连接,Directory 服务器可能会忽略 nsslapd-idletimeout 值,且在指定时间后不会关闭连接。在这个版本中,Directory 服务器在到达配置的空闲时间后按预期关闭连接。

Jira:RHEL-17511[1]

搜索操作现在可以更快地返回大型组

在以前的版本中,如果搜索大型静态组使用包含与 uniquemember 属性 相等 组件的过滤器,例如 '(uniquemember=uid=foo,ou=body,<suffix>)',此类搜索会较慢,且 CPU 密集型。在这个版本中,在搜索过滤器评估过程中,Directory 服务器使用内部结构,其中成员可分辨名称(DN)被排序,从而可以更快地搜索大组且较少的 CPU 密集型。

Jira:RHEL-49454[1]

一级范围的搜索不再无法返回子修复

在以前的版本中,当运行 ldapsearch 命令时,将 a -s 选项设置为 1 时,搜索结果不包含在 -b 选项中指定的条目的子后缀。在这个版本中,一个级别的搜索可以成功返回条目的子级。

Jira:RHEL-49458

referential Integrity 插件不再会导致服务器失败

在以前的版本中,当您将 referential Integrity 插件与延迟检查搭配使用时,处理检查的线程可能会在关闭时访问发布的数据结构,从而导致服务器失败。在这个版本中,插件不再释放数据结构,直到延迟检查线程停止且没有失败为止。

Jira:RHEL-5108

dscreate ds-root 命令现在接受相对路径

在以前的版本中,当尝试以非 root 用户身份创建实例时,并提供包含相对路径的 bin_dir 参数值时,相对路径被写入 defaults.inf 文件,从而导致实例创建失败。在这个版本中,当您提供相对路径作为 bin_dir 参数值时,实例现在可以成功创建。

Jira:RHEL-5115

现在,离线导入 LDIF 文件现在可以正常工作

在以前的版本中,在离线导入缓存自动调整操作前,不会触发缓存自动调整操作。因此,当由 ldif2db 脚本执行时,导入操作会较慢。在这个版本中,Directory 服务器会在 ldif2db 操作增加导入性能前触发缓存自动调整。

Jira:RHEL-5131

dsconf schema matchingrules list 命令现在显示新的 inchainMatch 匹配规则

在以前的版本中,dsconf 工具没有在匹配规则列表中显示 supported inchainMatch 匹配规则,因为chainMatch 是没有匹配语法注册的。在这个版本中,定义了 inchainMatch 的语法,在运行 dsconf schema matchingrules list 命令时,列表中会显示 inchainMatch

Jira:RHEL-33087

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中,IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。

Bugzilla:2094673

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.