2023.2 系列发布说明

2023.2-eol

升级说明

  • 如果 [ldap] tls_cacertfile[ldap] tls_cacertdir 已配置,并且 [ldap] use_tls 为 true,或者 LDAP URL 使用 ldaps:// 协议,则必须进行配置。如果缺少此配置,LDAP 身份验证将失败。

24.1.0

新特性

  • 为 admin cli 工具添加了一个新命令:keystone-manage reset_last_active。此新命令更新数据库,将用户表中 last_active_at 中的任何 NULL 值覆盖为当前时间。这是修复 Bug #2074018 的必要步骤。有关详细信息,请参阅 launchpad。

安全问题

  • 新的 keystone-manage rest_last_active 命令会将用户表中 last_active_at 中的所有 NULL 值重置为当前时间,以帮助修复 Bug #2074018。在已部署很长时间的环境中,后来决定采用 [security_compliance disable_user_account_days_inactive = X 选项时,运行此命令可能是必要的。有关详细信息,请参阅 Bug #2074018。

    此命令的一个副作用是它会重置未使用的帐户的活动时间。未使用的帐户将保持活动状态,直到配置的天数从命令运行之日开始经过。

错误修复

  • 修复了 Bug #2074018:更改了用户模型,以始终保存用户在 last_active_at 中的最后一次活动日期。在此更改之前,只有在设置了 [security_compliance] disable_user_account_days_inactive 选项时,才会更新 last_active_at 字段。如果您的部署受到此错误的影响,则必须在设置 disable_user_account_days_inactive 选项之前运行 keystone-manage reset_last_active

24.0.0

新功能

  • [bug 1951632] 已添加 bootstrap 过程中部署 `service` 角色的支持 除了 `admin`、 `member` `reader` 角色。

  • 可以使用一个新的选项 ‘randomize_urls’ 来随机化 keystone 连接 LDAP 服务器的顺序,在 [ldap] ‘url’ 列表中。默认情况下为 false。

升级说明

  • 自 Zed 以来已被弃用的旧版 sqlalchemy-migrate 迁移已被删除。不应产生任何最终用户影响。

错误修复

  • 使用 bcrypt 算法哈希的密码现在会被正确截断到算法允许的最大长度。这解决了 Keystone 升级后,超过 54 个字符的密码失效的回归问题。