红帽全球峰会5.9. 身份管理
迁移 IdM 部署不再会导致重复的 HBAC 规则
在以前的版本中,使用 ipa-migrate 程序从一个身份管理(IdM)部署迁移到另一个部署有时会导致目标服务器上重复的基于主机的访问控制(HBAC)规则。因此,当在该服务器上运行 "ipa hbacrule-find" 命令时,"allow_systemd-user" 和 "allow_systemd-user" HBAC 规则会出现两次。
这个问题已被解决,迁移 IdM 部署不再会导致重复的 HBAC 规则。
不再可以使用过期的令牌绕过双因素身份验证
在以前的版本中,可以通过创建一个带有特定最终评估周期的 OTP 令牌来绕过双因素身份验证。
如果强制实施双因素身份验证,没有 OTP 令牌的用户可以使用其密码登录并配置 OTP 令牌。因此,需要使用其密码和 OTP 令牌进行身份验证。但是,如果用户创建了具有过期端到端日期的 OTP 令牌,IdM 会错误地回退到仅密码的身份验证,从而有效地绕过双因素身份验证。这是因为 IdM 在不存在的和过期的 OTP 令牌之间没有区别。
在这个版本中,IdM 可以正确地区分这些场景。因此,双因素身份验证现在可以正确强制使用,防止绕过。
当使用子后缀启动实例时,不再记录不正确的错误
在此次更新之前,当使用子后缀启动实例时,您可能会在错误日志中看到以下不正确的消息:
[time_stamp] - ERR - id2entry - Could not open id2entry err 0 [time_stamp] - ERR - dn2entry_ext - The dn "dc=example,dc=com" was in the entryrdn index, but it did not exist in id2entry of instance userRoot.
[time_stamp] - ERR - id2entry - Could not open id2entry err 0
[time_stamp] - ERR - dn2entry_ext - The dn "dc=example,dc=com" was in the entryrdn index, but it did not exist in id2entry of instance userRoot.消息的根本原因是在后端初始化期间执行的子树搜索,以确定子树是否包含智能引用。另外,这个问题对服务器启动后的搜索操作有较小的性能影响。
在这个版本中,不正确的信息不再记录,在服务器启动时不会发生性能影响。
Jira:RHEL-71218[1]
ldapsearch 现在如预期遵守 NETWORK_TIMEOUT 设置
在以前的版本中,当服务器无法访问时 ldapsearch 命令会忽略超时,因此搜索会无限期挂起,而不是超时。在这个版本中,TLS 处理中的逻辑错误可以通过调整连接重试和套接字选项来解决。
因此,ldapsearch 命令不再忽略 NETWORK_TIMEOUT 设置,并在达到超时时返回以下错误:
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1).
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1).Jira:RHEL-78297[1]
带有页结果搜索的竞争条件不再关闭与 T3 错误代码的连接
在以前的版本中,在检查连接的页结果数据时,目录服务器不会使用正确的线程保护。因此,页面结果超时值会意外更改,并在新操作到达时触发假超时。这会导致超时错误,连接关闭了以下 T3 错误代码:
服务器关闭连接,因为超过了页结果搜索的指定时间限制。
在这个版本中,使用了正确的线程保护,页面结果搜索不再关闭与 T3 错误代码的连接。
Jira:RHEL-76019[1]
当重新索引带有带有扩展匹配规则的 sort 属性的 VLV 索引时,目录服务器不再会失败
在此次更新之前,在重新索引虚拟列表视图(VLV)索引过程中触发竞争条件,该索引带有扩展匹配规则的 sort 属性索引。因此,内存泄漏和目录服务器会失败。在这个版本中,Directory 服务器会序列化 VLV 索引密钥生成,不再失败。
当尝试释放资源时,OpenLDAP 库不再失败
在此次更新之前,当应用程序已经调用 OPEN () SSL_cleanup () 函数时,OpenLDAP 库会尝试在其破坏性中使用 SSL_CTX_free函数来 释放内存。因此,当无效的 SSL_CTX_free () 调用尝试释放已经清理的 SSL 上下文资源时,用户会出现失败或未定义的行为。
在这个版本中,添加了一个安全清理功能,以便在 OpenLDAP 的 destructor 中跳过 SSL 上下文清理。现在,如果未明确释放,SSL 上下文会泄漏,确保稳定的应用程序关闭。
高连接负载不再过载目录服务器中的单个线程
在此次更新之前,即使 Directory 服务器支持多个侦听线程,但第一个传入的连接被分配给同一监听器线程过载。因此,一些请求会产生大量 时间和 不佳的性能。在这个版本中,Directory 服务器在所有侦听线程中分发连接负载。
VLV 索引缓存现在与使用 LMDB 时的 VLV 索引匹配
在此次更新之前,虚拟列表视图(VLV)索引缓存与带有 Lightning Memory-Mapped 数据库(LMDB)的实例上的 VLV 索引本身不匹配,这会导致 VLV 索引返回无效值。在这个版本中,VLV 索引缓存与 VLV 索引匹配,并返回正确的值。
Jira:RHEL-64438[1]
在线备份不再失败
在此次更新之前,在线备份任务可能会因为不正确的锁定顺序而挂起。在这个版本中,在线备份可以正常工作,不再失败。
Jira:RHEL-67005[1]
cleanallruv 不再阻止其自身
在此次更新之前,当您在从复制拓扑中删除副本后运行 cleanAllRUV 任务时,任务会尝试更新复制配置条目,同时同一任务清除旧副本 ID 的复制更改日志(rid)。因此,服务器没有响应。
在这个版本中,清理所有RUV 仅在更改日志清除完成后清理复制配置。
当条目 RDN 与后缀 DN 的值相同时,重新索引不再会失败
在此次更新之前,如果条目的相对可分辨名称(RDN)的值与目录中的后缀可分辨名称(DN)相同,则 entryrdn 索引会被破坏。因此,目录服务器可能会执行缓慢的搜索请求,获取无效的结果,并在错误日志中写入警报信息。
在这个版本中,重新索引可以正常工作。
Jira:RHEL-74158[1]
帐户策略插件现在在复制拓扑中使用适当的标记进行更新
在此次更新之前,Account Policy 插件没有将正确的标记用于更新。因此,在复制拓扑中,Account Policy 插件更新了登录历史记录,但这个更新在消费者服务器上记录以下出错信息:
{{ERR - acct_update_login_history - Modify error 10 on entry
}}
{{ERR - acct_update_login_history - Modify error 10 on entry
}}在这个版本中,内部更新可以成功,且不会记录错误。
Jira:RHEL-74168[1]
在带有 LMDB 的供应商中,离线导入不再生成 nsuniqueid的副本
在此次更新之前,在带有 Lightning Memory-Mapped Database (LMDB)的供应商上离线导入基本条目(没有复制数据)会生成 nsuniqueid 操作属性的副本,它们必须是唯一的。因此,复制出现问题。在这个版本中,离线导入不再在供应商上生成重复。
Jira:RHEL-78344[1]
TLS 1.3 现在可以用来连接到以 FIPS 模式运行的 LDAP 服务器
在此次更新之前,当您尝试在 FIPS 模式中连接到 LDAP 服务器时明确设置 TLS 1.3 时,使用的 TLS 版本仍保留在 1.2 中。因此,尝试使用 TLS 1.3 连接到 LDAP 服务器会失败。在这个版本中,在 FIPS 模式中的 TLS 版本的上限被改为 1.3,尝试连接到带有 TLS 1.3 的 LDAP 服务器不再会失败。
在之前的尝试失败后,目录服务器备份不再失败
在此次更新之前,如果初始备份尝试失败,则下一个目录服务器备份会失败,因为后端会处于忙碌尝试完成以前的备份。因此,需要重启实例。在这个版本中,Directory 服务器备份在以前的尝试失败后不再失败,且不再需要实例重启。
使用基于证书的身份验证时供应商之间的复制失败,现在有一个更描述性的错误消息
在此次更新之前,当缺少所需的 CA 证书文件且 TLS 连接设置在供应过程中失败时,错误消息不明确地识别问题。在这个版本中,当发生 TLS 设置错误时,Directory 服务器会记录更详细的错误信息。它现在包括了缺少证书的信息,如 No such file or directory for a missing certificate,从而使问题更易于解决。
Jira:RHEL-65662[1]
dsconf config replace 现在可以按预期处理多值属性
在此次更新之前,dsconf config replace 命令只能为属性设置一个值,如 nsslapd-haproxy-trusted-ip。在这个版本中,您可以使用以下命令设置几个值:
dsconf <instace_name> config replace nsslapd-haproxy-trusted-ip=<ip_address_1> nsslapd-haproxy-trusted-ip=<ip_address_2> nsslapd-haproxy-trusted-ip=<ip_address_3>
# dsconf <instace_name> config replace nsslapd-haproxy-trusted-ip=<ip_address_1> nsslapd-haproxy-trusted-ip=<ip_address_2> nsslapd-haproxy-trusted-ip=<ip_address_3>现在,当使用带有 OR (|)和 NOT (!)运算符的复合过滤器时,目录服务器会返回正确的条目集合
在此次更新之前,当使用 OR (|)和 NOT (!)操作器搜索时,目录服务器不会返回正确的条目集合。原因在于,目录服务器错误地评估了访问权利和条目匹配,并在一个阶段执行这些步骤。在这个版本中,Directory 服务器在两个独立阶段执行访问权限评估和条目匹配,并使用 OR (|)和 NOT (!)运算符进行搜索。
Jira:RHEL-65776[1]
目录服务器重启后,供应商复制协议中的消费者状态会被正确显示
在此次更新之前,在复制拓扑中的供应商中,在 Directory Server 重启时会重置复制协议中的消费者状态。因此,显示的消费者初始化时间,复制状态不正确。
在这个版本中,复制协议条目显示消费者的正确状态,以及初始化的时间。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}