第 4 章 新功能

SSSD 现在全面支持存储在 AD 中的 sudo 规则

系统安全服务守护进程 (SSSD) 现在完全支持存储在 Active Directory (AD) 中的 sudo 规则。此功能最初作为技术预览在 Red Hat Enterprise Linux 7.0 中引入。请注意，管理员必须更新 AD 模式，以支持 sudo 规则。

SSSD 不再使用 [nss] 部分中的 fallback_homedir 值作为 AD 域的回退

在 RHEL 7.7 之前，Active Directory(AD)供应商中的 SSSD fallback_homedir 参数没有默认值。如果没有设置 fallback_homedir，则使用 SSSD 代替 /etc/sssd/sssd.conf 文件中的 [nss] 部分中的同一参数的值。为提高安全性，RHEL 7.7 中的 SSSD 引入了 fallback_homedir 的默认值。因此，SSSD 不再回退到 [nss] 部分中设置的值。如果要使用与 AD 域中 fallback_homedir 参数的默认值不同的值，您必须在域的部分中手动设置它。

目录服务器 rebase 到版本 1.3.9.1

389-ds-base 软件包已升级到上游版本 1.3.9.1，它提供很多程序错误修复和增强。

现在可以通过修改操作来调用 Directory Server Autoship 插件

此更新增强了目录服务器的 Auto Membership 插件，以用于修改操作。在以前的版本中，插件仅由 ADD 操作调用。当管理员更改用户条目并且更改会影响用户所属的 Auto Membership 组时，该用户不会从旧组中删除，仅添加到新组中。借助此更新提供的增强，用户现在可以配置 Directory 服务器在上述场景中将用户从旧组中删除。

replicaLastUpdateStatusJSON status 属性已添加到目录服务器中的复制协议中

在这个版本中，为 cn=< replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config 条目引入了 replicaLastUpdateStatusJSON 状态属性。replicaLastUpdateStatus 属性中显示的状态为 vague 和 unclear。new 属性提供明确的状态消息和结果代码，可以由支持 JSON 格式的其他应用解析。

IdM 现在提供了一个将 CA 提升到 CRL 生成 master 的工具

在这个版本中，管理员可以将现有身份管理(IdM)证书颁发机构(CA)提升到证书撤销列表(CRL)生成 master，或者从 CA 中删除此功能。在以前的版本中，需要多个手动步骤将 IdM CA 配置为 CRL 生成 master，这个过程容易出错。现在，管理员可以使用 ipa-crlgen-manage enable 和 ipa-crlgen-manage disable 命令在 IdM CA 上启用和禁用 CRL 生成。

IdM 添加了用于检测和删除孤立自动成员规则的命令

身份管理(IdM)中的自动成员规则可以引用 hostgroup 或已删除的组。在以前的版本中，ipa automember-rebuild 命令意外失败，很难诊断失败的原因。此增强将 ipa automember-find-orphans 添加到 IdM 中，以识别和删除此类孤立的自动成员规则。

IdM 现在支持证书的 SAN 扩展中的 IP 地址

在某些情况下，管理员需要在 Subject Alternative Name (SAN)扩展中使用 IP 地址发布证书。这个更新添加了这个功能。因此，如果地址在 IdM DNS 服务中管理并且与主题主机或服务主体相关联，管理员可以在 SAN 扩展中设置 IP 地址。

IdM 现在支持在服务器离线时续订过期的系统证书

在这个版本中，当 Identity Management (IdM)离线时，管理员可以续订过期的系统证书。当系统证书过期时，IdM 无法启动。新的 ipa-cert-fix 命令替换了用于手动设置日期的临时解决方案，以便继续续订过程。因此，在上述情景中，停机时间和支持成本降低。

PKI-core rebase 到版本 10.5.16

pki-core 软件包已升级到上游版本 10.5.16，它提供很多程序错误修复和增强。

证书系统现在可以为外部 CA 签名使用 SKI 扩展创建 CSR

在这个版本中，证书系统支持为外部证书颁发机构(CA)签名使用对象密钥标识符(SKI)扩展创建证书签名请求(CSR)。某些 CA 需要使用特定值或派生自 CA 公钥的扩展。现在，管理员可以使用传递给 pkispawn 工具的配置文件中的 pki_req_ski 参数来创建带有 SKI 扩展的 CSR。

卸载证书系统不再删除所有日志文件

在以前的版本中，当卸载子系统时，证书系统会删除所有对应的日志。在这个版本中，pkidestroy 工具不再删除日志。要在卸载子系统时删除日志，使用新的 --remove-logs 参数传递给 pkidestroy。另外，这个更新会将 --force 参数添加到 pkidestroy。在以前的版本中，一个不完整的安装会留下一些文件和目录，从而导致无法完全卸载证书系统实例。将 --force 传递到 pkidestroy，以彻底删除某一子系统以及实例的所有对应文件。

pkispawn 工具现在支持使用 CA、KRA 和 OCSP 安装过程中在 NSS 数据库中创建的密钥

在以前的版本中，在证书系统安装过程中，pkispawn 工具只支持创建新密钥并为系统证书导入现有密钥。有了这个增强，pkispawn 现在支持在证书颁发机构(CA)、密钥恢复授权机构(KRA)和在线证书状态协议(OCSP)安装过程中直接使用 NSS 数据库中生成的密钥。

现在，证书系统会在重新安装服务时保留以前安装的日志

在以前的版本中，当在具有现有证书系统日志目录结构的服务器上安装证书系统子系统时，pkispawn 工具会报告名称冲突错误。在这个版本中，证书系统会重复使用现有日志目录结构来保留以前安装的日志。

证书系统现在默认支持其他强大的密码

在这个版本中，以下附加密码与联邦信息处理标准(FIPS)兼容，在证书系统中默认启用：

samba 软件包已更新到版本 4.9.1

samba 软件包已升级到上游版本 4.9.1，它提供很多程序错误修复和增强。最显著的变化包括：