Ussuri 系列发布说明¶
10.1.0-15¶
新特性¶
默认最大密钥大小已从 10 kB 增加到 20 kb,默认最大请求大小已从 15 kB 增加到 25 kB。
安全问题¶
修复 Story #2009791:现在,拥有项目“creator”角色的用户即使不是最初创建密钥的用户,也可以删除属于该项目的密钥。在此修复之前,拥有“creator”角色的用户只能删除他们自己最初创建的属于该项目的密钥,这与 Barbican 集成的其他 OpenStack 项目处理删除的方式不一致。此更改不影响私有密钥(即“project-access”标志设置为“false”的密钥)。
错误修复¶
修复 Story #2009247 - 修复了 POST /v1/secrets/{secret-id}/metadata 的响应,使其与文档行为相符。
修复 Story #2009672 - 修复了容器消费者验证器,以防止 500 错误。
10.1.0¶
新功能¶
为 PKCS#11 加密插件添加了两个选项:[p11_crypto_plugin]/token_serial_number 和 [p11_crypto_plugin]/token_label。两者都是可选的,可以用作 [p11_crypto_plugin]/slot_id 的替代方案来标识 PKCS#11 插件要使用的 Token。当定义了其中一个新选项时,插件将在 PKCS#11 设备的各个插槽中搜索与给定值匹配的 token。token_serial_number 具有最高的优先级,当设置此值时,其他值将被忽略。如果未设置 token_serial_number,则 token_label 具有下一个最高的优先级,并且将忽略 slot_id。当未设置任何一个新选项时,将使用 slot_id。
为 PKCS#11 后端添加了一个新的布尔选项:os_locking_ok。如果设置为 True,则 CKF_OS_LOCKING_OK 标志将传递给 C_Initialize 函数。新选项默认为 False。
一个名为“token_labels”的新选项已添加到 PKCS#11 驱动程序中,它取代了以前的“token_label”选项。新选项用于指定可以由 Barbican 使用的 token 列表。这对于使用单独的 token 进行负载平衡的某些 HSM 设备是必需的。在大多数情况下,新选项将只有一个 token。旧选项已被弃用,但如果存在,仍将使用。
barbican-manage 命令行工具的 hsm 子命令不再需要在运行时使用任何参数。如果需要 PKCS#11 值,它将从 /etc/barbican/barbican.conf 中获取。您仍然可以在命令行上指定任何值,这些值将优先于 barbican.conf 中指定的值,因此任何使用 barbican-manage 的现有脚本都应按预期继续工作。
弃用说明¶
PKCS#11 驱动程序中的“token_label”选项已被弃用。应使用新的“token_labels”选项。如果存在,“token_label”仍然会通过将其附加到“token_labels”来使用。
错误修复¶
修复了 Story #2008649:在次要故障后正确重新初始化 PKCS11 对象。
修复了 Story # 2007732:MySQL 8.x 上的迁移已损坏。
10.0.0¶
新功能¶
现在可以通过使用 oslo.messaging 的通知监听器池功能,使 barbican-keystone-listener 能够监听相同的标准通知主题,而不会干扰其他服务。要使用它,请将新的
[keystone_notifications]pool_name选项设置为一些唯一的值(但对于 barbican-keystone-listener 服务的每个实例都相同)。此功能仅适用于支持它的 oslo.messaging 的消息传递传输。目前这些是 rabbitmq 和 kafka。有关更多详细信息,请参阅 oslo.messagind 文档
升级说明¶
已删除 Python 2.7 支持。Barbican 支持 Python 2.7 的最后一个版本是 OpenStack Train。Barbican 现在支持的 Python 的最低版本是 Python 3.6。
