6.4.10. Identity Management

FreeRADIUS 现在解析指向 IPv6 地址的主机名

在以前的版本中,在 RHEL 8 的 FreeRADIUS 版本中,ipaddr 工具只支持 IPv4 地址。因此,要让 radiusd 守护进程解析 IPv6 地址,需要在将系统从 RHEL 7 升级到 RHEL 8 后手动更新配置。在这个版本中解决了底层代码的问题,FreeRADIUS 中的 ipaddr 现在也使用 IPv6 地址。

(BZ#1685546)

Nuxwdog 服务不再无法在 HSM 环境中启动 PKI 服务器

在以前的版本中,因为程序漏洞,keyutils 软件包没有作为 pki-core 软件包的依赖项安装。另外,Nuxwdog watchdog 服务无法在使用硬件安全模块(HSM)的环境中启动公钥基础架构(PKI)服务器。这个问题已被解决。因此,所需的 keyutils 软件包现在作为依赖项自动安装,Nuxwdog 在使用 HSM 的环境中启动 PKI 服务器。

(BZ#1695302)

IdM 服务器现在可以在 FIPS 模式中正常工作

在以前的版本中,Tomcat 服务器的 SSL 连接器无法实施。因此,带有安装的证书服务器的 Identity Management(IdM)服务器无法在启用了 FIPS 模式的机器中正常工作。这个问题已通过添加 JSSTrustManagerJSSKeyManager 来解决。因此,IdM 服务器在上述场景中可以正常工作。

请注意,在 RHEL 8 中,有几个程序错误会阻止 IdM 服务器在 FIPS 模式中运行。这个更新只修复了其中一个。

(BZ#1673296)

KCM 凭证缓存现在适合单个凭证缓存中的大量凭证

在以前的版本中,如果 Kerberos 凭据管理器(KCM)包含大量凭证,Kerberos 操作(如 kinit )会失败,因为数据库中条目大小的限制以及这些条目的数量。

在这个版本中,在 sssd.conf 文件的 kcm 部分引入了以下新的配置选项:

  • max_ccaches (integer)
  • max_uid_ccaches (integer)
  • max_ccache_size (integer)

因此,KCM 现在可以在单个 ccache 中处理大量凭证。

有关配置选项的详情请参考 sssd-kcm man page

(BZ#1448094)

当使用 sss ID 映射插件时,Samba 不再拒绝访问

在以前的版本中,当您在使用此配置的域成员中运行 Samba 时,添加使用 sss ID 映射后端到 /etc/samba/smb.conf 文件的配置来共享目录时,ID 映射后端的更改会导致错误。因此,Samba 在某些情况下拒绝访问文件,即使存在用户和组并且 SSSD 知道该文件。这个问题已被解决。因此,在使用 sss 插件时,Samba 不再拒绝访问。

(BZ#1657665)

默认的 SSSD 超时值不再相互冲突

在以前的版本中,默认超时值之间存在冲突。以下选项的默认值已被修改以提高故障切换功能:

  • dns_resolver_op_timeout - 设置为 2s(以前为 6s)
  • dns_resolver_timeout - 设置为 4s(以前为 6s)
  • ldap_opt_timeout - 设置为 8s(以前为 6s)

另外,添加了一个新的 dns_resolver_server_timeout 选项,默认值为 1000 ms,它指定 SSSD 从 DNS 服务器切换到另一个 DNS 服务器的时间超时时间。

(BZ#1382750)