6.4.10. Gestão da Identidade

FreeRADIUS agora resolve nomes de hosts que apontam para endereços IPv6

Nas versões anteriores do RHEL 8 do FreeRADIUS, o utilitário ipaddr só suportava endereços IPv4. Consequentemente, para que o daemon radiusd resolvesse endereços IPv6, uma atualização manual da configuração era necessária após uma atualização do sistema de RHEL 7 para RHEL 8. Esta atualização corrige o código subjacente, e o ipaddr no FreeRADIUS agora usa endereços IPv6 também.

(BZ#1685546)

O serviço Nuxwdog não falha mais ao iniciar o servidor PKI em ambientes HSM

Anteriormente, devido a bugs, o pacote keyutils não era instalado como uma dependência do pacote pki-core. Além disso, o serviço Nuxwdog watchdog não conseguiu iniciar o servidor de infra-estrutura de chave pública (PKI) em ambientes que utilizam um módulo de segurança de hardware (HSM). Estes problemas foram corrigidos. Como resultado, o pacote keyutils necessário agora é instalado automaticamente como uma dependência, e a Nuxwdog inicia o servidor PKI como esperado em ambientes com HSM.

(BZ#1695302)

O servidor IdM agora funciona corretamente no modo FIPS

Anteriormente, o conector SSL para o servidor Tomcat era implementado de forma incompleta. Como conseqüência, o servidor Identity Management (IdM) com um servidor de certificados instalado não funcionava em máquinas com o modo FIPS habilitado. Este bug foi corrigido adicionando JSSTrustManager e JSSKeyManager. Como resultado, o servidor IdM funciona corretamente no cenário descrito.

Note que existem vários bugs que impedem o servidor IdM de funcionar no modo FIPS no RHEL 8. Esta atualização corrige apenas um deles.

(BZ#1673296)

O cache de credenciais KCM é agora adequado para um grande número de credenciais em um único cache de credenciais

Anteriormente, se o Gerente de Credenciais Kerberos (KCM) continha um grande número de credenciais, as operações Kerberos, tais como kinit, falharam devido a uma limitação do tamanho das entradas no banco de dados e do número dessas entradas.

Esta atualização introduz as seguintes novas opções de configuração na seção kcm do arquivo sssd.conf:

  • max_ccaches (inteiro)
  • max_uid_ccaches (inteiro)
  • max_ccache_size (inteiro)

Como resultado, a KCM pode agora lidar com um grande número de credenciais em um único ccache.

Para mais informações sobre as opções de configuração, consulte a página de manual sssd-kcm.

(BZ#1448094)

O Samba não nega mais o acesso ao usar o plug-in de mapeamento sss ID

Anteriormente, quando você executava Samba no membro do domínio com esta configuração e adicionava uma configuração que usava o sss ID mapping back end ao arquivo /etc/samba/smb.conf para compartilhar diretórios, alterações no back end do ID mapping causavam erros. Consequentemente, o Samba negou o acesso aos arquivos em certos casos, mesmo que o usuário ou grupo existisse e fosse conhecido pelo SSSD. O problema foi resolvido. Como resultado, o Samba não nega mais o acesso ao usar o plug-in sss.

(BZ#1657665)

Os valores de tempo limite padrão do SSSD não entram mais em conflito uns com os outros

Anteriormente, havia um conflito entre os valores padrão de tempo limite. Os valores padrão para as seguintes opções foram alterados para melhorar a capacidade de failover:

  • dns_resolver_op_timeout - set to 2s (anteriormente 6s)
  • dns_resolver_timeout - set to 4s (anteriormente 6s)
  • ldap_opt_timeout - set to 8s (anteriormente 6s)

Além disso, uma nova opção dns_resolver_server_timeout, com valor padrão de 1000 ms foi adicionada, que especifica a duração do tempo de expiração para que o SSSD mude de um servidor DNS para outro.

(BZ#1382750)