Yoga 系列发布说明¶
21.0.1-6¶
新特性¶
可以使用一个新的选项 ‘randomize_urls’ 来随机化 keystone 连接 LDAP 服务器的顺序,在 [ldap] ‘url’ 列表中。默认情况下为 false。
21.0.1¶
安全问题¶
如果 max_password_length 大于所选密码哈希算法允许的长度,密码现在将自动截断。目前只有 bcrypt 定义了固定的允许长度,为 54 个字符。如果密码被截断,将在日志中生成警告。这不会影响现有密码,但是,只有现有 bcrypt 密码的前 54 个字符将被验证。
[bug 1992183] [CVE-2022-2447] 使用应用程序凭证颁发的令牌现在将对其到期时间进行验证,验证依据是应用程序凭证的到期时间。如果应用程序凭证在令牌之前到期,则令牌的到期时间将设置为与应用程序凭证相同的到期时间。否则,令牌将使用配置的值。
错误修复¶
使用 bcrypt 算法哈希的密码现在会被正确截断到算法允许的最大长度。这解决了 Keystone 升级后,超过 54 个字符的密码失效的回归问题。
[bug 1926483] Keystone 现在只会为 Fernet 令牌记录令牌长度警告,当令牌长度超过 keystone.conf [DEFAULT] max_token_size 的值时。
21.0.0¶
升级说明¶
自 Newton (10.0.0) 起,
keystone-manage db_sync的--extension选项已被弃用,并提供时会引发错误。现在已完全移除该选项。
在拆分为单独的扩展模式、收缩模式和数据迁移模式之前存在的旧迁移现在已被移除。这些自 Newton (10.0.0) 起已被弃用。这不应产生任何用户可见的影响。
弃用说明¶
由于这些选项自 Pike 以来一直没有效果,因此
[memcache]部分中的以下选项已被弃用。请改用[cache]部分中的memcache_*选项。dead_retrypool_maxsizepool_unused_timeoutpool_connection_get_timeout
错误修复¶
[ Bug 1897230] 允许使用服务类型为 sts 和 iam 的 s3 token 进行身份验证。当使用 Ceph 对象存储的假设角色功能,并且 keystone 为 Rados Gateway 提供身份验证服务时,这是必需的。
将 pool_retry_max 的最小值更改为 1。将此值设置为 0 会导致池在连接到 ldap 之前失败,始终引发 MaxConnectionReachedError。
