Menu Close

7.9. Identity Management

在运行 bootstrap 脚本时,FreeRADIUS 不再错误地生成默认证书

每次启动 FreeRADIUS 时,bootstrap 脚本都运行。在以前的版本中,该脚本会在 /etc/raddb/certs 目录中生成新的测试证书,因此 FreeRADIUS 服务器有时无法启动,因为这些测试证书无效。例如,证书可能已过期。在这个版本中,bootstrap 脚本会检查 /etc/raddb/certs 目录,如果它包含任何测试或客户证书,该脚本不会运行,并且 FreeRADIUS 服务器应该可以正确启动。

请注意,测试证书只在配置 FreeRADIUS 时测试目的,不应用于实际环境中。使用用户证书后,应删除 bootstrap 脚本。

(BZ#1954521)

FreeRADIUS 不再无法创建内核转储文件

在以前的版本中,当 allow_core_dumps 被设置为 yes 时,FreeRADIUS 不会创建内核转储文件。因此,不会在任何进程失败时创建核心转储文件。在这个版本中,当将 allow_core_dumps 设置为 yes 时,FreeRADIUS 现在会在任何进程失败时创建一个核心转储文件。

(BZ#1977572)

SSSD 正确评估 /etc/krb5.conf 中 Kerberos keytab 名称的默认设置

在以前的版本中,如果您为 krb5.keytab 文件定义了非标准位置,SSSD 不会使用此位置,而是使用默认的 /etc/krb5.keytab 位置。因此,当您尝试登录到系统时,因为 /etc/krb5.keytab 没有包含条目,登录会失败。

在这个版本中,SSSD 会评估 /etc/krb5.conf 中的 default_keytab_name 变量,并使用此变量指定的位置。如果未设置 default_ keytab _name 变量,SSSD 仅使用默认的 /etc/krb5. keytab 位置。

(BZ#1737489)

运行 sudo 命令不再导出 KRB5CCNAME 环境变量

在以前的版本中,在运行 sudo 命令后,环境变量 KRB5CCNAME 指向原始用户的 Kerberos 凭证缓存,目标用户可能无法访问这些缓存。因此,Kerberos 相关的操作可能会失败,因为无法访问这个缓存。在这个版本中,运行 sudo 命令不再设置 KRB5CCNAME 环境变量,目标用户可使用其默认的 Kerberos 凭证缓存。

(BZ#1879869)

Kerberos 现在只请求允许的加密类型

在以前的版本中,如果未设置 default_ tgs _enctypes 或 default_ tkt_enctypes 参数,则 RHEL 不会应用在 /etc/krb5.conf 文件中的 allowed_ enctypes 参数中指定的允许加密类型。因此,Kerberos 客户端可以请求弃用的密码套件,如 RC4,这可能会导致其他进程失败。在这个版本中,RHEL 将 allowed _enctypes 中设置的加密类型应用到默认加密类型,进程只能请求允许的加密类型。

如果您使用 Red Hat Identity Management(IdM)并希望使用 Active Directory(AD)设置信任,请注意 RC4 密码套件(在 RHEL 8 中已弃用)是 AD 林中 AD 域的默认加密类型。您可以使用以下选项之一:

(BZ#2005277)

复制会话更新速度现已提高

在以前的版本中,当 changelog 包含较大的更新时,复制会话从 changelog 开始时启动。这会减慢会话速度。使用小缓冲区在复制会话期间存储来自 changelog 的更新会导致这一点。在这个版本中,复制会话会检查缓冲区是否足够大,以便首先存储更新。复制会话开始立即发送更新。

(BZ#1898541)

现在启用插件创建的数据库索引

在以前的版本中,当服务器插件创建自己的数据库索引时,您必须手动启用这些索引。在这个版本中,索引会在创建后立即启用。

(BZ#1951020)