Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

6.7. Gestion de l'identité

download PDF

DNSSEC disponible en tant qu'aperçu technologique dans IdM

Les serveurs de gestion de l'identité (IdM) avec DNS intégré mettent désormais en œuvre les extensions de sécurité DNS (DNSSEC), un ensemble d'extensions du DNS qui renforcent la sécurité du protocole DNS. Les zones DNS hébergées sur les serveurs IdM peuvent être automatiquement signées à l'aide de DNSSEC. Les clés cryptographiques sont générées automatiquement et font l'objet d'une rotation.

Il est conseillé aux utilisateurs qui décident de sécuriser leurs zones DNS avec DNSSEC de lire et de suivre ces documents :

Notez que les serveurs IdM avec DNS intégré utilisent DNSSEC pour valider les réponses DNS obtenues d'autres serveurs DNS. Cela peut affecter la disponibilité des zones DNS qui ne sont pas configurées conformément aux pratiques recommandées en matière de dénomination.

(BZ#2084180)

L'API JSON-RPC de gestion des identités est disponible en avant-première technologique

Une API est disponible pour la gestion des identités (IdM). Pour visualiser l'API, IdM fournit également un navigateur API en tant qu'aperçu technologique.

Auparavant, l'API IdM était améliorée pour permettre plusieurs versions des commandes de l'API. Ces améliorations pouvaient modifier le comportement d'une commande de manière incompatible. Les utilisateurs peuvent désormais continuer à utiliser les outils et les scripts existants même si l'API IdM change. Cela permet :

  • Aux administrateurs d'utiliser des versions antérieures ou postérieures d'IdM sur le serveur par rapport au client de gestion.
  • Les développeurs peuvent utiliser une version spécifique d'un appel IdM, même si la version IdM change sur le serveur.

Dans tous les cas, la communication avec le serveur est possible, même si l'une des parties utilise, par exemple, une version plus récente qui introduit de nouvelles options pour une fonctionnalité.

Pour plus de détails sur l'utilisation de l'API, voir Utilisation de l'API de gestion des identités pour communiquer avec le serveur IdM (AVANT-PROPOS TECHNOLOGIQUE).

(BZ#2084166)

ACME disponible en avant-première technologique

Le service Automated Certificate Management Environment (ACME) est désormais disponible dans Identity Management (IdM) en tant qu'aperçu technologique. ACME est un protocole de validation automatisée des identifiants et d'émission de certificats. Son objectif est d'améliorer la sécurité en réduisant la durée de vie des certificats et en évitant les processus manuels de gestion du cycle de vie des certificats.

Dans RHEL, le service ACME utilise le répondeur ACME PKI de Red Hat Certificate System (RHCS). Le sous-système RHCS ACME est automatiquement déployé sur chaque serveur d'autorité de certification (CA) dans le déploiement IdM, mais il ne traite pas les demandes jusqu'à ce que l'administrateur l'active. RHCS utilise le profil acmeIPAServerCert lors de l'émission de certificats ACME. La période de validité des certificats émis est de 90 jours. L'activation ou la désactivation du service ACME affecte l'ensemble du déploiement IdM.

Important

Il est recommandé d'activer ACME uniquement dans un déploiement IdM où tous les serveurs utilisent RHEL 8.4 ou une version ultérieure. Les versions antérieures de RHEL n'incluent pas le service ACME, ce qui peut entraîner des problèmes dans les déploiements de versions mixtes. Par exemple, un serveur CA sans ACME peut faire échouer les connexions des clients, car il utilise un Subject Alternative Name (SAN) DNS différent.

Avertissement

Actuellement, le RHCS ne supprime pas les certificats expirés. Comme les certificats ACME expirent après 90 jours, les certificats expirés peuvent s'accumuler, ce qui peut affecter les performances.

  • Pour activer l'ACME dans l'ensemble du déploiement IdM, utilisez la commande ipa-acme-manage enable: 

    # ipa-acme-manage enable
The ipa-acme-manage command was successful

  • Pour désactiver ACME dans l'ensemble du déploiement IdM, utilisez la commande ipa-acme-manage disable: 

    # ipa-acme-manage disable
The ipa-acme-manage command was successful

  • Pour vérifier si le service ACME est installé et s'il est activé ou désactivé, utilisez la commande ipa-acme-manage status: 

    # ipa-acme-manage status
ACME is enabled
The ipa-acme-manage command was successful

(BZ#2084181)

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.