4.9. Gestion de l'identité (traduction automatique)
Nouveau contrôle de syntaxe des mots de passe dans Directory Server
Cette amélioration ajoute de nouveaux contrôles de syntaxe des mots de passe à Directory Server. Les administrateurs peuvent maintenant, par exemple, activer les vérifications de dictionnaire, autoriser ou refuser l'utilisation de séquences de caractères et de palindromes. Par conséquent, si cette option est activée, le contrôle de syntaxe de la stratégie de mot de passe dans Directory Server permet d'appliquer des mots de passe plus sûrs.
(BZ#1334254)
Directory Server offre désormais un meilleur support de journalisation des opérations internes
Plusieurs opérations dans Directory Server, initiées par le serveur et les clients, provoquent des opérations supplémentaires en arrière-plan. Auparavant, le serveur n'enregistrait que le mot-clé de Internal
connexion pour les opérations internes et l'ID de l'opération était toujours défini sur -1
. Avec cette amélioration, Directory Server enregistre la connexion réelle et l'ID d'opération. Vous pouvez maintenant tracer l'opération interne jusqu'à l'opération serveur ou client à l'origine de cette opération.
Pour plus de détails sur l'enregistrement des opérations internes, voir le lien : https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.
(BZ#1358706)
La tomcatjss
bibliothèque prend en charge la vérification OCSP à l'aide du répondeur de l'extension AIA
Grâce à cette amélioration, la tomcatjss
bibliothèque prend en charge la vérification du protocole OCSP (Online Certificate Status Protocol) à l'aide du répondeur de l'extension AIA (Authority Information Access) d'un certificat. En conséquence, les administrateurs de Red Hat Certificate System peuvent désormais configurer le contrôle OCSP qui utilise l'URL de l'extension AIA.
(BZ#1636564)
Directory Server introduit de nouveaux utilitaires en ligne de commande pour gérer les instances
Red Hat Directory Server 11.0 présente les dscreate
utilitaires dsconf
, et les dsctl
utilitaires. Ces utilitaires simplifient la gestion de Directory Server en utilisant la ligne de commande. Par exemple, vous pouvez maintenant utiliser une commande avec des paramètres pour configurer une fonctionnalité au lieu d'envoyer des instructions LDIF complexes au serveur.
Voici un aperçu de l'objet de chaque service public :
-
Utilisez l'
dscreate
utilitaire pour créer de nouvelles instances de Directory Server en utilisant le mode interactif ou un fichier INF. Notez que le format de fichier INF est différent de celui utilisé par le programme d'installation dans les versions précédentes de Directory Server. Utilisez l'
dsconf
utilitaire pour gérer les instances du serveur de répertoire pendant l'exécution. Par exemple, utilisezdsconf
:-
Configurer les paramètres dans l'
cn=config
entrée - Configurer les plug-ins
- Configurer la réplication
- Sauvegarder et restaurer une instance
-
Configurer les paramètres dans l'
Utilisez l'
dsctl
utilitaire pour gérer les instances de Directory Server lorsqu'elles sont hors ligne. Par exemple, utilisezdsctl
:- Démarrer et arrêter une instance
- Réindexer la base de données du serveur
- Sauvegarder et restaurer une instance
Ces utilitaires remplacent les scripts Perl et shell marqués comme obsolètes dans Directory Server 10. Les scripts sont toujours disponibles dans le package non 389-ds-base-legacy-tools
supporté, mais Red Hat ne prend en charge que la gestion de Directory Server en utilisant les nouveaux utilitaires.
Notez que la configuration de Directory Server à l'aide des instructions LDIF est toujours supportée, mais Red Hat recommande d'utiliser les utilitaires.
Pour plus de détails sur l'utilisation des utilitaires, voir la section Red Hat Directory Server 11 Documentation.
Les commandes pki subsystem-cert-find
et pki subsystem-cert-show
et indiquent maintenant le numéro de série des certificats
Avec cette amélioration, les commandes pki subsystem-cert-find
et pki subsystem-cert-show
du Système de certificats affichent le numéro de série des certificats dans leur sortie. Le numéro de série est un élément d'information important et souvent requis par de multiples autres commandes. Par conséquent, il est maintenant plus facile d'identifier le numéro de série d'un certificat.
(BZ#1566360)
Les commandes pki user
et pki group
et ont été dépréciées dans le système de certification
Avec cette mise à jour, les nouvelles pki <subsystem>-user
pki <subsystem>-group
commandes et remplacent les commandes pki user
et pki group
dans Certificate System. Les commandes remplacées fonctionnent toujours, mais elles affichent un message indiquant que la commande est obsolète et font référence aux nouvelles commandes.
(BZ#1394069)
Certificate System prend désormais en charge le renouvellement hors ligne des certificats système
Grâce à cette amélioration, les administrateurs peuvent utiliser la fonction de renouvellement hors ligne pour renouveler les certificats système configurés dans Certificate System. Lorsqu'un certificat système expire, le système de certification ne démarre pas. Grâce à cette amélioration, les administrateurs n'ont plus besoin de solutions de contournement pour remplacer un certificat système expiré.
Certificate System peut désormais créer des CSR avec extension SKI pour la signature externe d'AC
Grâce à cette amélioration, Certificate System prend en charge la création d'une demande de signature de certificat (CSR) avec l'extension SKI (Subject Key Identifier) pour la signature d'une autorité de certification (CA) externe. Certaines AC ont besoin de cette extension, soit avec une valeur particulière, soit dérivée de la clé publique de l'AC. Par conséquent, les administrateurs peuvent maintenant utiliser le pki_req_ski
paramètre du fichier de configuration transmis à l'pkispawn
utilitaire pour créer un CSR avec extension SKI.
(BZ#1656856)
Les utilisateurs locaux sont mis en cache par SSSD et servis par le nss_sss
module
Dans RHEL 8, le démon des services de sécurité du système (SSSD) sert par défaut les utilisateurs et les groupes des fichiers /etc/passwd
et /etc/groups
des fichiers. Le module sss
nsswitch précède les fichiers du /etc/nsswitch.conf
fichier.
L'avantage de servir les utilisateurs locaux par l'intermédiaire de la DSSS est que le nss_sss
module est rapidememory-mapped cache
, ce qui accélère la recherche par commutateur de service de nom (NSS) par rapport à l'accès au disque et à l'ouverture des fichiers pour chaque requête NSS. Auparavant, le démon de cache du service de nom (nscd
) permettait d'accélérer le processus d'accès au disque. Cependant, l'utilisation nscd
en parallèle avec la DSSS est encombrante, car la DSSS et nscd
sa propre mise en cache indépendante sont toutes deux utilisées. Par conséquent, l'utilisation nscd
dans des configurations où SSSD sert également des utilisateurs d'un domaine distant, par exemple LDAP ou Active Directory, peut provoquer des comportements imprévisibles.
Avec cette mise à jour, la résolution des utilisateurs et groupes locaux est plus rapide dans RHEL 8. Notez que l'root
utilisateur n'est jamais géré par SSSD, donc la root
résolution ne peut pas être affectée par un bug potentiel dans SSSD. Notez également que si SSSD n'est pas en cours d'exécution, le nss_sss
module gère la situation avec grâce en se repliant sur pour nss_files
éviter les problèmes. Vous n'avez pas besoin de configurer SSSD de quelque façon que ce soit, le domaine des fichiers est ajouté automatiquement.
(JIRA:RHELPLAN-10439)
KCM remplace KEYRING comme mémoire cache par défaut pour les informations d'identification
Dans RHEL 8, la mémoire cache par défaut est le Kerberos Credential Manager (KCM) qui est soutenu par le sssd-kcm
deamon. KCM surmonte les limites du KEYRING précédemment utilisé, comme le fait qu'il est difficile à utiliser dans des environnements conteneurisés parce qu'il n'est pas doté d'un rythme de noms, et qu'il permet de visualiser et de gérer les quotas.
Avec cette mise à jour, RHEL 8 contient un cache d'informations d'identification qui est mieux adapté aux environnements conteneurisés et qui fournit une base pour construire plus de fonctionnalités dans les versions futures.
(JIRA:RHELPLAN-10440)
Les utilisateurs d'Active Directory peuvent désormais administrer la gestion des identités
Avec cette mise à jour, RHEL 8 permet d'ajouter un code d'utilisateur prioritaire pour un utilisateur Active Directory (AD) en tant que membre d'un groupe Identity Management (IdM). Un remplacement d'ID est un enregistrement décrivant à quoi devrait ressembler un utilisateur AD ou des propriétés de groupe spécifiques dans une vue ID spécifique, dans ce cas la vue de confiance par défaut. En conséquence de la mise à jour, le serveur LDAP IdM est capable d'appliquer les règles de contrôle d'accès pour le groupe IdM à l'utilisateur AD.
Les utilisateurs AD peuvent maintenant utiliser les fonctionnalités en libre-service d'IdM UI, par exemple pour télécharger leurs clés SSH, ou modifier leurs données personnelles. Un administrateur AD est capable d'administrer entièrement IdM sans avoir deux comptes et mots de passe différents. Notez qu'à l'heure actuelle, certaines fonctions d'IdM peuvent encore ne pas être disponibles pour les utilisateurs AD.
(JIRA:RHELPLAN-10442)
sssctl
imprime un rapport de règles HBAC pour un domaine IdM
Avec cette mise à jour, l'sssctl
utilitaire du démon des services de sécurité du système (DSSD) peut imprimer un rapport de contrôle d'accès pour un domaine IdM (Identity Management). Cette fonctionnalité répond au besoin de certains environnements de voir, pour des raisons réglementaires, une liste d'utilisateurs et de groupes qui peuvent accéder à une machine cliente spécifique. L'exécution sssctl access-report
domain_name
sur un client IdM imprime le sous-ensemble analysé de règles de contrôle d'accès basé sur l'hôte (HBAC) dans le domaine IdM qui s'appliquent à la machine cliente.
Notez qu'aucun autre fournisseur que IdM ne supporte cette fonctionnalité.
(JIRA:RHELPLAN-10443)
Les progiciels de gestion des identités sont disponibles sous forme de module
Dans RHEL 8, les paquets nécessaires à l'installation d'un serveur et d'un client de gestion des identités (IdM) sont livrés sous forme de module. Le client
flux est le flux par défaut du idm
module et vous pouvez télécharger les paquets nécessaires pour installer le client sans activer le flux.
Le flux du module serveur IdM s'appelle le DL1
flux. Le flux contient plusieurs profils correspondant à différents types de serveurs IdM : serveur, dns, adtrust, client et par défaut. Pour télécharger les paquets dans un profil spécifique du DL1
flux : . Activer le flux. . Passez aux RPM diffusés par le flux. . Exécutez la yum module install idm:DL1/profile_name
commande.
(JIRA:RHELPLAN-10438)
Ajout d'une solution d'enregistrement de session pour RHEL 8
Une solution d'enregistrement de session a été ajoutée à Red Hat Enterprise Linux 8 (RHEL 8). Un nouveau tlog
package et son lecteur de session console web associé permettent d'enregistrer et de lire les sessions du terminal utilisateur. L'enregistrement peut être configuré par utilisateur ou groupe d'utilisateurs via le service System Security Services Daemon (SSSD). Toutes les entrées et sorties du terminal sont saisies et stockées sous forme de texte dans un journal système. L'entrée est inactive par défaut pour des raisons de sécurité afin de ne pas intercepter les mots de passe bruts et autres informations sensibles.
La solution peut être utilisée pour l'audit des sessions utilisateurs sur des systèmes sensibles du point de vue de la sécurité. En cas d'atteinte à la sécurité, les séances enregistrées peuvent être examinées dans le cadre d'une analyse judiciaire. Les administrateurs système peuvent maintenant configurer l'enregistrement de la session en local et visualiser le résultat à partir de l'interface de la console web RHEL 8 ou de l'interface en ligne de commande en utilisant l'tlog-play
utilitaire.
(JIRA:RHELPLAN-1473)
authselect
simplifie la configuration de l'authentification utilisateur
Cette mise à jour présente l'authselect
utilitaire qui simplifie la configuration de l'authentification utilisateur sur les hôtes RHEL 8, en remplacement de l'authconfig
utilitaire. authselect
s'accompagne d'une approche plus sûre de la gestion de la pile PAM qui simplifie les changements de configuration PAM pour les administrateurs système. authselect
peut être utilisé pour configurer les méthodes d'authentification comme les mots de passe, certificats, cartes à puce et empreinte. Notez que authselect
ne configure pas les services requis pour rejoindre les domaines distants. Cette tâche est effectuée par des outils spécialisés, tels que realmd
ou ipa-client-install
.
(JIRA:RHELPLAN-10445)
SSSD vous permet maintenant de sélectionner l'un des multiples dispositifs d'authentification par carte à puce
Avec cette mise à jour, vous pouvez configurer PKCS#11 URI pour la sélection des périphériques d'authentification Smartcard.
Par défaut, SSSD tente de détecter automatiquement un périphérique pour l'authentification par carte à puce. S'il y a plusieurs périphériques connectés, SSSD sélectionnera le premier périphérique trouvé et vous ne pouvez pas sélectionner le périphérique particulier. Cela peut mener à des échecs.
Par conséquent, vous pouvez maintenant configurer une nouvelle p11_uri
option pour la [pam]
section de sssd.conf
. Cette option vous permet de définir quel périphérique sera utilisé pour l'authentification par carte à puce.
Par exemple, pour sélectionner le lecteur avec l'identifiant d'emplacement'2' détecté par le module OpenSC PKCS#11, ajoutez
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
à la [pam]
section de sssd.conf
.
Veuillez consulter man sssd-conf
pour plus de détails.
(BZ#1620123)