4.12. 身份管理
python-jwcrypto rebase 到版本 1.5.6
python-jwcrypto 软件包已更新至版本 1.5.6。对于一个具有高压缩率的恶意 JWE Token,攻击者可以利用一个恶意的 JWE Token 来拒绝服务攻击的问题。
Jira:RHELDOCS-18197[1]
ansible-freeipa rebase 到 1.13.2
ansible-freeipa 软件包已从 1.12.1 版本 rebase 到 1.13.2 主要改进:
-
ansible-freeipa软件包需要ansible-core软件包版本 2.15 最小值。ansible-core2.15 和ansible-freeipa的最新版本都在 Appstream 存储库中提供。因此,不需要手动更新ansible-core。 -
现在,您可以动态为
ansible-freeipaplaybook 创建身份管理(IdM)服务器清单。freeipa插件收集有关域中 IdM 服务器的数据,并只选择分配了指定的 IdM 服务器角色的服务器。例如,如果要搜索域中所有 IdM DNS 服务器的日志,以检测可能的问题,则插件确保所有具有 DNS 服务器角色的 IdM 副本都被检测到,并自动添加到受管节点中。 现在,您可以更有效地运行
ansible-freeipaplaybook,以使用单个 Ansible 任务来添加、修改和删除多个身份管理(IdM)用户、用户组、主机和服务。在以前的版本中,用户列表中的每个条目都有其专用的 API 调用。在这个版本中,几个 API 调用合并为一个 API 调用。这同样适用于用户组、主机和服务的列表。因此,使用
ipauser,ipagroup,ipahost和ipaservice模块添加、修改和删除这些 IdM 对象的速度增加了。使用客户端上下文时,可以看到最大的好处。ansible-freeipa现在还在ansible-freeipa-collection子软件包中提供角色和模块作为 Ansible 集合。使用新集合:-
安装
ansible-freeipa-collection子软件包。 -
将
freeipa.ansible_freeipa前缀添加到角色和模块的名称中。使用完全限定名称来遵循 Ansible 建议。例如,要引用ipahbacrule模块,请使用freeipa.ansible_freeipa.ipahbacrule。
您可以通过应用
module_defaults来简化作为freeipa.ansible_freeipa集合一部分的模块的使用。-
安装
ipa rebase 到版本 4.12.0
ipa 软件包已从 4.11 版本更新至 4.12.0。主要变更包括:
- 您可以为不提供 OTP 令牌的用户强制 LDAP 身份验证失败。
- 您可以使用可信 Active Directory 用户注册身份管理(IdM)客户端。
- FreeIPA 中身份映射的文档现在可用。
-
python-dns软件包已 rebase 到版本 2.6.1-1.el10。 -
ansible-freeipa软件包已从 1.12.1 升级到 1.13.2。
如需更多信息,请参阅 FreeIPA 和 ansible-freeipa 上游发行注记。
certmonger rebase 到版本 0.79.20
certmonger 软件包已 rebase 到版本 0.79.20。这个版本包括各种 bug 修复和增强,最重要的是:
- 增强了内部令牌中新证书的处理,并改进了续订上的删除过程。
-
删除了
CKM_RSA_X_509加密机制的令牌上的限制。 -
修复了
getcert add-scep-ca,--ca-cert , 和--ra-cert选项的文档。 - 重命名 D-Bus 服务和配置文件以匹配规范名称。
-
在
getcert-resubmitman page 中添加了缺少的.TP标签。 - 迁移到 SPDX 许可证格式。
-
在
getcert 列表输出中包含所有者和组信息。 -
删除了
cm_certread_n_parse函数中 NSS 数据库的要求。 - 添加了在简体中文、Georgian 和俄语使用 Webplate 的翻译。
samba rebase 到版本 4.20.2
samba 软件包升级至上游版本 4.20.2,它提供程序错误修复和增强。最显著的更改有:
-
smbacls工具现在可以保存和恢复自由访问控制列表(DACL)条目。此功能模拟 Windowsicacls.exe工具的功能。 - Samba 现在支持有条件的访问控制条目(ACE)。
-
Samba 不再从
/var/run/utmp文件中读取当前登录的用户。此功能已从NetWkstaGetInfo级别 102 和NetWkstaEnumUsers级别 0 和 1 功能中删除,因为/var/run/utmp使用的时间格式不是一年 2038 安全。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。
Jira:RHEL-33645[1]
389-ds-base rebase 到版本 2.5.2
389-ds-base 软件包已更新至版本 2.5.2。与 2.4.5 版本相比,重要的程序错误修复和增强包括:
改进了 MIT krb5 TCP 连接超时处理
在以前的版本中,TCP 连接会在 10 秒后超时。在这个版本中,MIT krb5 TCP 连接处理已被修改,不再使用默认超时。request_timeout 设置现在限制了总请求持续时间,而不是单个 TCP 连接的持续时间。这个变化解决了 SSSD 的集成问题,特别是双因素验证用例。因此,用户对 TCP 连接具有更加一致的处理,因为 request_timeout 设置现在可以有效地控制全局请求最长持续时间。
Jira:RHEL-17132[1]
新的 SSSD 选项: failover_primary_timeout
您可以使用 failover_primary_timeout 选项指定 sssd 服务在切换到备份服务器后尝试重新连接到主 IdM 服务器的间隔(以秒为单位)。默认值为 31 秒。在以前的版本中,如果主服务器不可用,SSSD 会在固定超时时间为 31 秒后自动切换到备份服务器。
Jira:RHEL-17659[1]
