2023.1 系列发布说明¶
2023.1-eom¶
新特性¶
为 admin cli 工具添加了一个新命令:keystone-manage reset_last_active。此新命令更新数据库,将用户表中 last_active_at 中的任何 NULL 值覆盖为当前时间。这是修复 Bug #2074018 的必要步骤。有关详细信息,请参阅 launchpad。
安全问题¶
新的 keystone-manage rest_last_active 命令会将用户表中 last_active_at 中的所有 NULL 值重置为当前时间,以帮助修复 Bug #2074018。在已部署很长时间的环境中,后来决定采用 [security_compliance disable_user_account_days_inactive = X 选项时,运行此命令可能是必要的。有关详细信息,请参阅 Bug #2074018。
此命令的一个副作用是它会重置未使用的帐户的活动时间。未使用的帐户将保持活动状态,直到配置的天数从命令运行之日开始经过。
错误修复¶
修复了 Bug #2074018:更改了用户模型,以始终保存用户在 last_active_at 中的最后一次活动日期。在此更改之前,只有在设置了 [security_compliance] disable_user_account_days_inactive 选项时,才会更新 last_active_at 字段。如果您的部署受到此错误的影响,则必须在设置 disable_user_account_days_inactive 选项之前运行 keystone-manage reset_last_active。
23.0.2¶
新特性¶
可以使用一个新的选项 ‘randomize_urls’ 来随机化 keystone 连接 LDAP 服务器的顺序,在 [ldap] ‘url’ 列表中。默认情况下为 false。
23.0.1¶
错误修复¶
使用 bcrypt 算法哈希的密码现在会被正确截断到算法允许的最大长度。这解决了 Keystone 升级后,超过 54 个字符的密码失效的回归问题。
23.0.0¶
新特性¶
[蓝图 support-oauth2-mtls] 提供基于 RFC8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens 的 OAuth 2.0 访问令牌的持有证明选项。用户现在可以使用 OAuth 2.0 Access Token API 从 keystone 身份服务器获取 OAuth 2.0 证书绑定访问令牌,使用 OAuth 2.0 凭证和 Mutual-TLS 证书。然后用户可以使用 OAuth 2.0 证书绑定访问令牌和 Mutual-TLS 证书访问使用 keystone 中间件支持 OAuth 2.0 Mutual-TLS 客户端身份验证的 OpenStack API。
安全问题¶
如果 max_password_length 大于所选密码哈希算法允许的长度,密码现在将自动截断。目前只有 bcrypt 定义了固定的允许长度,为 54 个字符。如果密码被截断,将在日志中生成警告。这不会影响现有密码,但是,只有现有 bcrypt 密码的前 54 个字符将被验证。
[bug 1992183] [CVE-2022-2447] 使用应用程序凭证颁发的令牌现在将对其到期时间进行验证,验证依据是应用程序凭证的到期时间。如果应用程序凭证在令牌之前到期,则令牌的到期时间将设置为与应用程序凭证相同的到期时间。否则,令牌将使用配置的值。
