6.2.10. Gestión de la identidad
SSSD ya no descarga por defecto todas las reglas con carácter comodín
Anteriormente, la opción ldap_sudo_include_regexp se establecía incorrectamente como verdadera por defecto. Como consecuencia, cuando SSSD comenzaba a ejecutarse o después de actualizar las reglas de SSSD, SSSD descargaba todas las reglas que contenían un carácter comodín(*) en el atributo sudoHost. Esta actualización corrige el error, y la opción ldap_sudo_include_regexp está ahora correctamente establecida en false por defecto. Como resultado, el problema descrito ya no se produce.
krb5 ahora sólo solicita los tipos de encriptación permitidos
Anteriormente, los tipos de cifrado permitidos especificados en la variable permitted_enctypes del archivo /etc/krb5.conf no se aplicaban a los tipos de cifrado por defecto si los atributos default_tgs_enctypes o default_tkt_enctypes no estaban establecidos. En consecuencia, los clientes de Kerberos podían solicitar suites de cifrado obsoletas como RC4, lo que podía hacer que otros procesos fallaran. Con esta actualización, los tipos de cifrado especificados en la variable permitted_enctypes se aplican también a los tipos de cifrado por defecto, y sólo se solicitan los tipos de cifrado permitidos.
El conjunto de cifrado RC4, que ha quedado obsoleto en RHEL 8, es el tipo de cifrado por defecto para los usuarios, servicios y fideicomisos entre los dominios de Active Directory (AD) en un bosque de AD.
- Para garantizar la compatibilidad con los tipos de cifrado AES fuertes entre los dominios de AD en un bosque de AD, consulte el artículo AD DS: Seguridad: Kerberos \ "Unsupported etype" error al acceder a un recurso en un dominio de confianza artículo de Microsoft.
-
Para habilitar la compatibilidad con el tipo de cifrado RC4 obsoleto en un servidor de IdM para que sea compatible con AD, utilice el comando
update-crypto-policies --set DEFAULT:AD-SUPPORT.
(BZ#1791062)
Los KDCs ahora aplican correctamente la política de duración de las contraseñas desde los backends LDAP
Anteriormente, los centros de distribución de Kerberos (KDC) que no eran de IPA no garantizaban la duración máxima de las contraseñas porque el backend LDAP de Kerberos aplicaba incorrectamente las políticas de contraseñas. Con esta actualización, el backend LDAP de Kerberos se ha corregido y los tiempos de vida de las contraseñas se comportan como se espera.
Envío de notificaciones de caducidad de contraseñas a los clientes de AD mediante SSSD
Anteriormente, los clientes de Active Directory (no IdM) que utilizaban SSSD no recibían avisos de caducidad de las contraseñas debido a un cambio reciente en la interfaz de SSSD para adquirir las credenciales de Kerberos.
Se ha actualizado la interfaz de Kerberos y los avisos de caducidad se envían ahora correctamente.
El servidor de directorios ya no pierde memoria cuando se utilizan definiciones indirectas de COS
Anteriormente, después de procesar una definición de clase de servicio (COS) indirecta, Directory Server perdía memoria para cada operación de búsqueda que utilizaba una definición de COS indirecta. Con esta actualización, Directory Server libera todas las estructuras de COS internas asociadas a la entrada de la base de datos después de haberla procesado. Como resultado, el servidor ya no pierde memoria cuando utiliza definiciones de COS indirectas.
La adición de anulaciones de ID de usuarios de AD ahora funciona en la interfaz web de IdM
Anteriormente, la adición de anulaciones de ID de usuarios de Active Directory (AD) a grupos de gestión de identidades (IdM) en la vista de confianza predeterminada con el fin de conceder acceso a las funciones de gestión fallaba al utilizar la interfaz web de IdM. Esta actualización corrige el error. Como resultado, ahora puede utilizar tanto la interfaz web como la interfaz de línea de comandos (CLI) de IdM en este caso.
FreeRADIUS ya no genera certificados durante la instalación del paquete
Anteriormente, FreeRADIUS generaba certificados durante la instalación del paquete, lo que provocaba los siguientes problemas:
- Si FreeRADIUS se instaló mediante Kickstart, los certificados podrían generarse en un momento en que la entropía del sistema fuera insuficiente, lo que daría lugar a una instalación fallida o a un certificado menos seguro.
- El paquete era difícil de construir como parte de una imagen, como un contenedor, porque la instalación del paquete se produce en la máquina constructora en lugar de la máquina de destino. Todas las instancias que se generan a partir de la imagen tienen la misma información de certificado.
- Era difícil para un usuario final generar una simple VM en su entorno, ya que los certificados tendrían que ser eliminados y regenerados manualmente.
Con esta actualización, la instalación de FreeRADIUS ya no genera certificados CA autofirmados por defecto ni certificados CA subordinados. Cuando FreeRADIUS se lanza a través de systemd:
- Si faltan todos los certificados necesarios, se genera un conjunto de certificados por defecto.
- Si uno o más de los certificados esperados están presentes, no genera nuevos certificados.
FreeRADIUS ahora genera parámetros Diffie-Hellman que cumplen con FIPS
Debido a los nuevos requisitos de FIPS que no permiten que openssl genere parámetros Diffie-Hellman (dh) a través de dhparam, la generación de parámetros dh se ha eliminado de los scripts de arranque de FreeRADIUS y el archivo, rfc3526-group-18-8192.dhparam, se incluye con los paquetes de FreeRADIUS para todos los sistemas, y así permite que FreeRADIUS se inicie en modo FIPS.
Tenga en cuenta que puede personalizar /etc/raddb/certs/bootstrap y /etc/raddb/certs/Makefile para restaurar la generación de parámetros DH si es necesario.
La actualización de Healthcheck ahora actualiza correctamente tanto ipa-healthcheck-core como ipa-healthcheck
Anteriormente, al introducir yum update healthcheck no se actualizaba el paquete ipa-healthcheck, sino que se sustituía por el paquete ipa-healthcheck-core. Como consecuencia, el comando ipa-healthcheck no funcionaba después de la actualización.
Esta actualización corrige el error, y la actualización de ipa-healthcheck ahora actualiza correctamente tanto el paquete ipa-healthcheck como el paquete ipa-healthcheck-core. Como resultado, la herramienta Healthcheck funciona correctamente después de la actualización.
