Liberty 系列发布说明

8.1.0

新特性

  • [bug 1490804] 审计 ID 包含在令牌撤销列表中。

安全问题

  • [bug 1490804] [CVE-2015-7546] 修复了一个漏洞,当使用 PKI 或 PKIZ 令牌提供程序时,攻击者可能无法撤销令牌。此漏洞的完整修复需要 keystonemiddleware 项目中的相应修复。

8.0.1

新特性

  • 实验性 - 域特定的配置选项可以使用新的 REST API 存储在 SQL 中,而不是配置文件中。

  • 实验性 - Keystone 现在支持使用 X.509 SSL 客户端证书进行无令牌授权。

  • 现在支持为每个身份提供商配置 WebSSO。

  • openstack_user_domainopenstack_project_domain 属性已添加到 SAML 断言中,以便分别映射用户和项目域。

  • 凭证列表调用现在可以按凭证类型过滤结果。

  • 通过定义稳定的驱动程序接口,改进了对树外驱动程序的支持。

  • 几个特性得到了加强,包括 Fernet 令牌、联合身份验证、数据库中的域特定配置和角色分配。

  • keystone.conf 文件中的某些变量现在具有选项,这些选项确定用户的设置是否有效。

升级说明

  • EC2 令牌中间件在 Juno 中已弃用,现在已从 keystone 中删除。它已移动到 keystonemiddleware 包中。

  • compute_port 配置选项在 Juno 中已弃用,现在已不可用。

  • XML 中间件存根已被删除,因此必须从 keystone-paste.ini 配置文件中删除对它的引用。

  • stats_monitoring 和 stats_reporting paste 过滤器已被删除,因此必须从 keystone-paste.ini 配置文件中删除对它的引用。

  • 外部身份验证插件 ExternalDefault、ExternalDomain、LegacyDefaultDomain 和 LegacyDomain 在 Icehouse 中已弃用,现在已不可用。

  • keystone.conf 文件现在引用驱动程序的入口点名称。例如,驱动程序现在指定为“sql”、“ldap”、“uuid”,而不是完整的模块路径。有关其他示例,请参阅示例配置文件。

  • 现在我们为 keystone-manage 命令公开入口点,而不是文件。

  • 通过 keystone-manage db_sync 进行的模式降级不再受支持。仅支持升级。

  • 在以前的版本中为“扩展”的特性(OAuth 委托、联合身份支持、端点策略等)现在默认启用。

  • 在 keystone 位于代理服务器后面时,提供了一个新的 secure_proxy_ssl_header 配置选项。

  • 几个配置选项已弃用、重命名或移动到 keystone.conf 文件中的新部分。

  • 现在可以使用属性 domain_name 在策略规则中使用域名信息。

其他说明

  • 以 eventlet 模式运行 keystone 仍然被弃用,将在 Mitaka 版本中删除。

  • 将 LDAP 作为资源后端(即,用于项目和域)现在已弃用,将在 Mitaka 版本中删除。

  • 不推荐使用驱动程序类的完整路径,而推荐使用入口点。在 Mitaka 版本中,必须使用入口点。

  • keystone.conf 文件的 [resource] 和 [role] 部分中,不指定驱动程序并使用分配驱动程序已被弃用。在 Mitaka 版本中,资源和角色驱动程序将默认设置为 SQL 驱动程序。

  • keystone-paste.ini 中,不推荐使用 paste.filter_factory,而推荐使用“use”指令,指定一个入口点。

  • 在创建用户、组或项目调用期间不指定域,并依赖于回退到默认域,现在已弃用,将在 N 版本中删除。

  • 分配管理器中的某些已弃用的方法已被 [resource] 和 [role] 管理器中的相同方法取代。