Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 25 章 认证和互操作性

目录服务器现在支持带有 NSS 支持的所有密码的证书

由于目录服务器的限制,管理员只能使用 RSA 和 Fortezza 密码。因此,不支持使用不同的密码(如 ECC 证书)创建的证书。在这个版本中删除了这个限制。现在,在 Directory Server 中配置 TLS 时,管理员可以使用带有底层网络安全服务(NSS)数据库支持的所有密码的证书。(BZ#1582747)

目录服务器正确生成 CSN

在目录服务器复制拓扑中,更新通过使用基于时间戳的更改序列号(CSN)来管理。新的 CSN 必须大于副本更新向量(RUV)中存在的最高 CSN。如果服务器生成一个新的 CSN,其第二个与最新的 CSN 相同,则会增加序列号以确保它具有更高。但是,如果最新的 CSN 和新的 CSN 相同,则序列号不会增加。在这种情况下,新的 CSN 是副本 ID 之外的,与最新副本 ID 相同。因此,目录中的新更新会出现在比最新更新旧的情形中。在这个版本中,如果序列号较低或等于最新的目录,目录服务器会增加 CSN。因此,新更新不再被视为比最新数据旧的。(BZ#1559945)

client-cert-request 工具不再无法为 ECC 证书创建 CSR

在以前的版本中,证书系统的 client-cert-request 工具中的 generatePkcs10Request 方法无法映射 curve 和 length 参数。因此,实用程序无法为 Elliptic Curve Curve Cryptography (ECC)证书创建证书签名请求(CSR)。这个问题已被解决。因此,使用 client-cert-request 为 ECC 证书创建 CSR 可以正常工作。(BZ#1549632)

pkiconsole 工具不再接受带有空表达式的 ACL

证书系统服务器拒绝保存无效的访问控制列表(ACL)。因此,当使用空表达式保存 ACL 时,服务器会拒绝更新,pkiconsole 工具会显示 StringIndexOutOfBoundsException 错误。在这个版本中,实用程序拒绝空的 ACL 表达式。因此,无法保存无效的 ACL,不再显示这个错误。(BZ#1546708)

使用 ECC 密钥的 CMC CRMF 请求可以正常工作

在以前的版本中,在验证过程中,证书系统以 CMC 证书请求格式(CRMF)请求错误地编码 ECC 公钥。因此,在 CRMF 中通过 CMS (CMC)请求 ECC 证书会失败。这个问题已被解决,因此使用 ECC 密钥的 CMC CRMF 请求可以正常工作。(BZ#1580394)

使用 ECC 密钥安装证书系统子系统不再失败

在以前的版本中,由于证书系统安装过程中的一个错误,使用 ECC 密钥安装密钥恢复授权(KRA)会失败。要解决这个问题,安装过程已更新,以自动处理 RSA 和 ECC 子系统。因此,使用 ECC 密钥安装子系统不再会失败。(BZ#1568615)

目录服务器客户端不再被匿名资源限制随机限制

在以前的版本中,当启动第一次操作、绑定或连接时,目录服务器不会记住。因此,服务器在某些情况下对经过身份验证的客户端匿名资源限制应用。在这个版本中,Directory 服务器可以正确地标记经过身份验证的客户端连接。因此,它会应用正确的资源限值,经过身份验证的客户端不再受到匿名资源限值的随机限制。(BZ#1515190)

目录服务器中的线程处理已被序列化

在传入的复制会话中,只有在上一个操作完成后才能处理复制操作。在某些情况下,处理启动会话操作的线程继续读取和处理复制操作。因此,两个复制操作并行运行,这会导致不一致,如在添加父条目前完成的子 添加操作。在这个版本中,线程处理启动会话操作不再处理进一步的操作,即使某些操作在读取缓冲区中可用。因此,在上述场景中不再会出现不一致的情况。(BZ#1552698)

删除目录服务器中的 memberOf 属性可以正常工作

如果管理员将目录服务器中的组从一个子树移到另一个子树,则 memberOf 插件会删除带有旧值的 memberOf 属性,并在受影响的用户条目中添加带有新组的可分辨名称(DN)的新 memberOf 属性。在以前的版本中,如果旧子树不在 memberOf 插件范围内,删除旧的 memberOf 属性会失败,因为值不存在。因此,插件不会添加新的 memberOf 值,用户条目包含不正确的 memberOf 值。在这个版本中,插件会在删除旧值时检查返回码。如果返回码 不是这样的值,则插件仅添加新的 memberOf 值。因此,memberOf 属性信息是正确的。(BZ#1551071)

PBKDF2_SHA256 密码存储方案现在可以在目录服务器中使用

如果红帽目录服务器实例使用版本 10.1.0 或更早版本安装,因此更新脚本不会启用基于密码的身份验证版本 2 (PBKDF2)插件。因此,在 nsslapd-rootpwstorageschemepasswordStorageScheme 参数中无法使用 PBKDF2_SHA256 密码存储方案。这个版本会自动启用插件。现在,管理员可以使用 PBKDF2_SHA256 密码存储方案。(BZ#1576485)

当从活跃列表中删除连接时,目录服务器不再崩溃

目录服务器在活跃列表中管理已建立的连接。当线程标记关闭时,服务器会等待连接中没有活跃的线程,以从活跃列表中删除连接。在某些情况下,活跃线程数量小于实际线程数量。在这种情况下,Directory 服务器会将连接从活跃列表中移出,并将其标记为无效。另一个剩余的线程,它检测到连接无效也会尝试从活跃列表中删除。但是,从活跃列表中删除连接的代码需要连接具有有效的列表指针。如果指针因为连接不在活跃列表中而无效,目录服务器会意外终止。在这个版本中,服务器在使用前检查列表指针是否有效。因此,当尝试从活跃列表中删除连接时,服务器不再崩溃。(BZ#1566444)

Disk Monitoring 功能关闭低磁盘空间上的目录服务器

由于 Directory 服务器设置错误日志级别的变化,Directory 服务器中的 Disk Monitoring 功能无法检测到错误日志级别是否已设置为默认级别。因此,当文件系统已满时,Directory 服务器无法正确关闭。Disk Monitoring 功能检查错误级别已更新的方式。现在,如果磁盘空间较低,Disk Monitoring 可以正确地关闭服务器。(BZ#1568462)

entrydn 属性中搜索不存在的 DN 时,目录服务器不再记录警告

在以前的版本中,搜索 entrydn 属性中设置的不存在的可分辨名称(DN)会导致 Directory 服务器在错误日志中记录警告。在这个版本中,当 entrydn 属性无法找到匹配项时,服务器可以正确地处理情况。因此,服务器不再记录误导警告。(BZ#1570033)

使用 CRYPT 密码存储方案时,pwdhash 工具不再崩溃

在以前的版本中,pwdhash 工具在使用 CRYPT 密码存储方案创建哈希时使用无效的 mutex 锁定。因此,pwdhash 会失败,并显示 segmentation 错误。在这个版本中,实用程序使用不需要锁定的 crypt () 函数的重新渲染形式。因此,在使用 CRYPT 密码存储方案时,pwdhash 不再崩溃。(BZ#1570649)

目录服务器 Pass-through 插件现在支持使用 STARTTLS 命令加密连接

在以前的版本中,如果使用 STARTTLS 命令启动加密,目录服务器中的 Pass-through 插件不支持加密的连接。这个问题已被解决,Pass-through 插件现在支持使用 STARTTLS 命令的连接。(BZ#1581737)

如果启用了 链更新,则使用密码策略功能可以正常工作

在目录服务器只读消费者中,在 重置密码策略设置后必须更改密码,因为标记必须更改其密码的用户标记必须在连接本身上设置。如果此设置与 更新功能上的链 一起使用,则标志会丢失。因此,密码策略功能无法正常工作。在这个版本中,服务器会在 更新 连接中正确设置标志。因此,密码策略功能可以正常工作。(BZ#1582092)

提高了目录服务器中启用了精细的密码策略时的性能

当搜索评估 shadowAccount 条目时,Directory 服务器会将 shadow 属性添加到该条目中。如果启用了精细的密码策略,则 shadowAccount 条目可以包含自己的 pwdpolicysubentry 策略属性。在以前的版本中,要检索此属性,服务器会针对每个 shadowAccount 条目启动内部搜索,这很不需要,因为该条目已经已知。在这个版本中,Directory 服务器仅在条目未知时启动内部搜索。因此,搜索的性能(如响应时间和吞吐量)有所改进。(BZ#1593807)

现在,当第一个会话启动时,目录服务器现在检索副本绑定 DN 组的成员

目录服务器副本定义授权复制到副本本身的条目。如果条目是 nsds5replicabinddngroup 属性中设置的组成员,则根据 nsDS5ReplicaBindDnGroupCheckInterval 属性中设置的间隔定期检索组。如果条目在服务器检索组时不是成员,则任何使用此条目进行身份验证的会话都不会授权复制更新。这个行为会一直保留,直到条目成为组的成员,并且服务器再次检索组。因此,在 nsDS5ReplicaBindDnGroupCheckInterval 中设置的第一个间隔复制会失败。在这个版本中,服务器会在第一个会话启动时检索组,而不是在创建副本时检索组。因此,在第一次尝试时会考虑组。(BZ#1598478)

现在支持使用名称 default 创建目录服务器后端

在以前的版本中,名称 默认 保留在目录服务器中。因此,创建名为 default 的后端会失败。有了这个更新,目录服务器不再保留此名称,管理员可以创建一个名为 default 的后端。(BZ#1598718)

更新了目录服务器 SNMP MIB 定义

在以前的版本中,389-ds-base 软件包提供的简单网络管理协议(SNMP)管理信息(MIB)定义不符合 RFC 2578 中定义的管理信息版本 2 (SMIv2)的结构。因此,lint 工具会报告错误。现在,该定义已被更新,MIB 定义符合 SMIv2 规格(BZ39)1525256

rpc.yppasswdd 现在还会更新禁用 SELinux 的密码

在以前的版本中,当在系统上禁用 SELinux 安全模块时,rpc.yppasswdd 更新功能将无法执行更新操作。因此,rpc.yppasswdd 无法更新用户密码。有了这个更新,rpc.yppasswdd 会检查系统上是否启用了 SELinux 上下文类型,然后再检测 passwd 文件的 SELinux 上下文类型。因此,rpc.yppasswdd 现在会在上述场景中正确更新密码。(BZ#1492892)

nsslapd-enable-nunc-stans 参数的默认值已更改为 off

在以前的版本中,在 Directory 服务器中默认启用 nucn-stans 框架,但框架不稳定。因此,可能会出现死锁和文件描述符泄漏。此更新将 nsslapd-enable-nunc-stans 参数的默认值更改为 off。因此,Directory 服务器现在是稳定的。(BZ#1614501)