Buscar
ApoyoConsolaDesarrolladoresIniciar una pruebaContacto

5.12. Gestión de la identidad

download PDF

IdM ahora es compatible con los nuevos módulos de gestión de Ansible

Esta actualización introduce varios módulos ansible-freeipa para la automatización de tareas comunes de gestión de identidades (IdM) mediante los playbooks de Ansible:

  • El módulo ipauser automatiza la adición y eliminación de usuarios.
  • El módulo ipagroup automatiza la adición y eliminación de usuarios y grupos de usuarios a y desde grupos de usuarios.
  • El módulo ipahost automatiza la adición y eliminación de hosts.
  • El módulo ipahostgroup automatiza la adición y eliminación de hosts y grupos de hosts a y desde grupos de hosts.
  • El módulo ipasudorule automatiza la gestión del comando sudo y la regla sudo.
  • El módulo ipapwpolicy automatiza la configuración de las políticas de contraseñas en IdM.
  • El módulo ipahbacrule automatiza la gestión del control de acceso basado en host en IdM.

Tenga en cuenta que puede combinar dos o más llamadas a ipauser en una sola con la variable users o, alternativamente, utilizar un archivo JSON que contenga los usuarios. Del mismo modo, puede combinar dos o más llamadas a ipahost en una sola con la variable hosts o, alternativamente, utilizar un archivo JSON que contenga los hosts. El módulo ipahost también puede asegurar la presencia o ausencia de varias direcciones IPv4 e IPv6 para un host.

(JIRA:RHELPLAN-37713)

IdM Healthcheck ahora soporta el cribado de registros DNS

Esta actualización introduce una prueba manual independiente de los registros DNS en un servidor de gestión de identidades (IdM).

La prueba utiliza la herramienta Healthcheck y realiza una consulta DNS utilizando el resolver local en el archivo etc/resolv.conf. La prueba asegura que los registros DNS esperados requeridos para el autodescubrimiento son resolubles.

(JIRA:RHELPLAN-37777)

La integración directa de RHEL en AD mediante SSSD ahora es compatible con FIPS

Con esta mejora, el demonio de seguridad de servicios del sistema (SSSD) se integra ahora con las implantaciones de Active Directory (AD) cuyos mecanismos de autenticación utilizan tipos de cifrado aprobados por la norma federal de procesamiento de información (FIPS). La mejora permite integrar directamente los sistemas RHEL en AD en entornos que deben cumplir los criterios FIPS.

(BZ#1841170)

El protocolo SMB1 ha sido desactivado en las utilidades del servidor y del cliente Samba por defecto

En Samba 4.11, los valores por defecto de los parámetros de protocolo mínimo del servidor y protocolo mínimo del cliente se han cambiado de NT1 a SMB2_02 porque el protocolo de bloque de mensajes del servidor versión 1 (SMB1) está obsoleto. Si no ha establecido estos parámetros en el archivo /etc/samba/smb.conf:

  • Los clientes que sólo soportan SMB1 ya no pueden conectarse al servidor Samba.
  • Las utilidades del cliente Samba, como smbclient, y la biblioteca libsmbclient fallan al conectarse a servidores que sólo soportan SMB1.

Red Hat recomienda no utilizar el protocolo SMB1. Sin embargo, si su entorno requiere SMB1, puede volver a habilitar manualmente el protocolo.

Para volver a habilitar SMB1 en un servidor Samba:

  • Añada la siguiente configuración al archivo /etc/samba/smb.conf: 
protocolo mínimo del servidor = NT1
  • Reinicie el servicio smb: 
# systemctl restart smb

Para volver a habilitar SMB1 para las utilidades del cliente Samba y la biblioteca libsmbclient:

  • Añada la siguiente configuración al archivo /etc/samba/smb.conf: 
protocolo mínimo del cliente = NT1
  • Reinicie el servicio smb: 
# systemctl restart smb

Tenga en cuenta que el protocolo SMB1 se eliminará en una futura versión de Samba.

(BZ#1785248)

samba rebasado a la versión 4.11.2

Los paquetes samba han sido actualizados a la versión 4.11.2, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Los cambios más importantes son:

  • Por defecto, el protocolo de bloque de mensajes del servidor versión 1 (SMB1) está ahora deshabilitado en el servidor Samba, las utilidades del cliente y la biblioteca libsmbclient. Sin embargo, puede establecer manualmente los parámetros de protocolo mínimo del servidor y protocolo mínimo del cliente a NT1 para volver a habilitar SMB1. Red Hat no recomienda volver a habilitar el protocolo SMB1.
  • Los parámetros lanman auth y encrypt passwords están obsoletos. Estos parámetros permiten la autenticación insegura y sólo están disponibles en el protocolo obsoleto SMB1.
  • Se ha eliminado el parámetro -o de la utilidad de base de datos trivial agrupada (CTDB) de un nodo.
  • Samba utiliza ahora la biblioteca GnuTLS para el cifrado. Como resultado, si el modo FIPS en RHEL está activado, Samba es compatible con el estándar FIPS.
  • El servicio ctdbd ahora registra cuando utiliza más del 90% de un hilo de CPU.
  • Se ha eliminado el soporte de Python 2, que estaba obsoleto.

Samba actualiza automáticamente sus archivos de base de datos tdb cuando se inicia el servicio smbd, nmbd o winbind. Haga una copia de seguridad de los archivos de la base de datos antes de iniciar Samba. Tenga en cuenta que Red Hat no admite la actualización de los archivos de la base de datos tdb.

Para más información sobre los cambios notables, lea las notas de la versión anterior antes de actualizar: https://www.samba.org/samba/history/samba-4.11.0.html

(BZ#1754409)

El servidor de directorios se ha actualizado a la versión 1.4.2.4

Los paquetes 389-ds-base han sido actualizados a la versión 1.4.2.4, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Para obtener una lista completa de los cambios notables, lea las notas de la versión upstream antes de actualizar:

(BZ#1748994)

Algunas secuencias de comandos heredadas han sido sustituidas en el servidor de directorio

Esta mejora proporciona reemplazos para los scripts heredados dbverify, validate-syntax.pl, cl-dump.pl, fixup-memberuid.pl y repl-monitor.pl no soportados en Directory Server. Estos scripts han sido sustituidos por los siguientes comandos:

  • dbverify: dsctl instance_name dbverify
  • validar-sintaxis.pl: dsconf esquema validar-sintaxis
  • cl-dump.pl: dsconf replication dump-changelog
  • fixup-memberuid.pl: dsconf plugin posix-winsync fixup
  • repl-monitor.pl: monitor de replicación dsconf

Para una lista de todos los scripts heredados y sus reemplazos, vea Utilidades de línea de comandos reemplazadas en Red Hat Directory Server 11.

(BZ#1739718)

La configuración de IdM como réplica oculta es ahora totalmente compatible

La gestión de identidades (IdM) en RHEL 8.2 soporta completamente la configuración de servidores IdM como réplicas ocultas. Una réplica oculta es un servidor IdM que tiene todos los servicios en ejecución y disponibles. Sin embargo, no se anuncia a otros clientes o maestros porque no existen registros SRV para los servicios en DNS, y los roles del servidor LDAP no están habilitados. Por lo tanto, los clientes no pueden utilizar el descubrimiento de servicios para detectar las réplicas ocultas.

Las réplicas ocultas están diseñadas principalmente para servicios dedicados que, de otro modo, pueden interrumpir a los clientes. Por ejemplo, una copia de seguridad completa de IdM requiere apagar todos los servicios de IdM en el maestro o la réplica. Dado que ningún cliente utiliza una réplica oculta, los administradores pueden apagar temporalmente los servicios en este host sin afectar a ningún cliente. Otros casos de uso incluyen operaciones de alta carga en la API de IdM o el servidor LDAP, como una importación masiva o consultas extensas.

Para instalar una nueva réplica oculta, utilice el comando ipa-replica-install --hidden-replica. Para cambiar el estado de una réplica existente, utilice el comando ipa server-state.

Para más detalles, consulte Instalación de una réplica oculta de IdM.

(BZ#1719767)

La política de tickets de Kerberos ahora admite indicadores de autenticación

Los indicadores de autenticación se adjuntan a los tickets de Kerberos en función del mecanismo de preautenticación que se haya utilizado para adquirir el ticket:

  • otp para la autenticación de dos factores (contraseña OTP)
  • radius para la autenticación RADIUS
  • pkinit para la autenticación de PKINIT, tarjetas inteligentes o certificados
  • endurecido para contraseñas endurecidas (SPAKE o FAST)

El Centro de Distribución de Kerberos (KDC) puede aplicar políticas como el control de acceso a los servicios, la duración máxima del ticket y la edad máxima renovable, en las solicitudes de tickets de servicio que se basan en los indicadores de autenticación.

Con esta mejora, los administradores pueden lograr un control más fino sobre la emisión de tickets de servicio al requerir indicadores de autenticación específicos de los tickets de un usuario.

(BZ#1777564)

El paquete krb5 es ahora compatible con FIPS

Con esta mejora, se prohíbe la criptografía no conforme. Como resultado, los administradores pueden utilizar Kerberos en entornos regulados por FIPS.

(BZ#1754690)

Directory Server establece el parámetro sslVersionMin basándose en la política crypto de todo el sistema

Por defecto, Directory Server ahora establece el valor del parámetro sslVersionMin basado en la política crypto de todo el sistema. Si establece el perfil de la política crypto en el archivo /etc/crypto-policies/config a:

  • DEFAULT, FUTURE o FIPS, el servidor de directorio establece sslVersionMin en TLS1.2
  • LEGACY, Directory Server establece sslVersionMin a TLS1.0

Alternativamente, puede establecer manualmente sslVersionMin a un valor más alto que el definido en la política criptográfica: 

# dsconf -D \ "cn=Directory Manager" __ldap://server.example.com__ security set --tls-protocol-min TLS1.3

(BZ#1828727)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.