Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

4.15. Gestion de l'identité

download PDF

SSSD prend désormais en charge la mise en cache de la mémoire pour les demandes de SID

Avec cette amélioration, SSSD prend désormais en charge la mise en cache de la mémoire pour les requêtes SID, c'est-à-dire les recherches de GID et d'UID par SID et vice versa. La mise en cache de la mémoire permet d'améliorer les performances, par exemple, lors de la copie de grandes quantités de fichiers vers ou depuis un serveur Samba.

(JIRA:RHELPLAN-123369)

Les modules Ansible ipaservicedelegationtarget et ipaservicedelegationrule sont désormais disponibles

Vous pouvez désormais utiliser les modules ipaservicedelegationtarget et ipaservicedelegationrule ansible-freeipa pour, par exemple, configurer un client de console web afin de permettre à un utilisateur de gestion d'identité (IdM) qui s'est authentifié avec une carte à puce d'effectuer les opérations suivantes :

  • Utilisez sudo sur l'hôte RHEL sur lequel le service de console Web est exécuté sans qu'il vous soit demandé de vous authentifier à nouveau.
  • Accédez à un hôte distant à l'aide de SSH et accédez aux services de l'hôte sans devoir vous authentifier à nouveau.

Les modules ipaservicedelegationtarget et ipaservicedelegationrule utilisent la fonction Kerberos S4U2proxy, également connue sous le nom de délégation restreinte. IdM utilise traditionnellement cette fonctionnalité pour permettre au serveur web d'obtenir un ticket de service LDAP au nom de l'utilisateur. Le système de confiance IdM-AD utilise cette fonctionnalité pour obtenir un principal cifs.

(JIRA:RHELPLAN-117109)

Support SSSD pour PKINIT anonyme pour FAST

Grâce à cette amélioration, SSSD prend désormais en charge la PKINIT anonyme pour l'authentification flexible via un tunnel sécurisé (FAST), également appelée blindage Kerberos dans Active Directory. Jusqu'à présent, pour utiliser FAST, un keytab Kerberos était nécessaire pour demander les informations d'identification requises. Vous pouvez désormais utiliser PKINIT anonyme pour créer ce cache d'informations d'identification afin d'établir la session FAST.

Pour activer le PKINIT anonyme, procédez comme suit :

  1. Définissez krb5_fast_use_anonymous_pkinit comme true dans la section [domain] du fichier sssd.conf.
  2. Redémarrer SSSD.

  3. Dans un environnement IdM, vous pouvez vérifier que le PKINIT anonyme a été utilisé pour établir la session FAST en vous connectant en tant qu'utilisateur IdM. Un fichier cache contenant le ticket FAST est créé et le site Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS indique que le PKINIT anonyme a été utilisé : 

    klist /var/lib/sss/db/fast_ccache_IPA.VM
Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS
Valid starting Expires Service principal
03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM

(JIRA:RHELPLAN-123368)

L'IdM prend désormais en charge les numéros de série aléatoires

Avec cette mise à jour, Identity Management (IdM) inclut désormais dogtagpki 11.2.0, qui vous permet d'utiliser Random Serial Numbers version 3 (RSNv3). Vous pouvez activer RSNv3 en utilisant l'option --random-serial-numbers lors de l'exécution de ipa-server-install ou ipa-ca-install. Lorsque RSNv3 est activé, IdM génère des numéros de série entièrement aléatoires pour les certificats et les demandes dans PKI sans gestion de plage. En utilisant RSNv3, vous pouvez éviter la gestion des plages dans les grandes installations IdM et prévenir les collisions communes lors de la réinstallation d'IdM.

Important

RSNv3 n'est pris en charge que pour les nouvelles installations IdM. Si elle est activée, il est nécessaire d'utiliser RSNv3 pour tous les services PKI.

(BZ#747959)

IdM permet désormais de limiter le nombre de liaisons LDAP autorisées après l'expiration du mot de passe d'un utilisateur

Cette amélioration permet de définir le nombre de liaisons LDAP autorisées lorsque le mot de passe d'un utilisateur Identity Management (IdM) a expiré :

-1
L'IdM accorde à l'utilisateur un nombre illimité de liaisons LDAP avant que l'utilisateur ne doive réinitialiser son mot de passe. Il s'agit de la valeur par défaut, qui correspond au comportement précédent.
0
Cette valeur désactive toutes les liaisons LDAP lorsque le mot de passe a expiré. En effet, les utilisateurs doivent réinitialiser leur mot de passe immédiatement.
1-MAXINT
La valeur saisie autorise exactement ce nombre de liaisons après l'expiration.

La valeur peut être définie dans la stratégie globale de mot de passe et dans les stratégies de groupe.

Notez que le décompte est stocké par serveur.

Pour qu'un utilisateur puisse réinitialiser son propre mot de passe, il doit se lier avec son mot de passe actuel, qui a expiré. Si l'utilisateur a épuisé toutes les liaisons après expiration, le mot de passe doit être réinitialisé administrativement.

(BZ#2091988)

Nouveaux rôles ipasmartcard_server et ipasmartcard_client

Avec cette mise à jour, le paquet ansible-freeipa fournit des rôles Ansible pour configurer les serveurs et les clients de gestion des identités (IdM) pour l'authentification par carte à puce. Les rôles ipasmartcard_server et ipasmartcard_client remplacent les scripts ipa-advise pour automatiser et simplifier l'intégration. Le même inventaire et le même schéma de dénomination sont utilisés que dans les autres rôles ansible-freeipa.

(BZ#2076567)

IdM prend désormais en charge la configuration d'AD Trust avec Windows Server 2022

Grâce à cette amélioration, vous pouvez établir une confiance inter-forêts entre les domaines Identity Management (IdM) et les forêts Active Directory qui utilisent des contrôleurs de domaine fonctionnant sous Windows Server 2022.

(BZ#2122716)

Les messages de débogage de ipa-dnskeysyncd et ipa-ods-exporter ne sont plus enregistrés dans /var/log/messages par défaut

Auparavant, ipa-dnskeysyncd, le service responsable de la synchronisation entre LDAP et OpenDNSSEC, et ipa-ods-exporter, le service d'exportation OpenDNSSEC de Identity Management (IdM), enregistraient par défaut tous les messages de débogage sur /var/log/messages. Par conséquent, les fichiers journaux augmentaient considérablement. Avec cette amélioration, vous pouvez configurer le niveau de journalisation en définissant debug=True dans le fichier /etc/ipa/dns.conf. Pour plus d'informations, consultez default.conf(5), la page de manuel du fichier de configuration IdM.

(BZ#2083218)

samba repassé à la version 4.16.1

Les paquets samba ont été mis à jour vers la version amont 4.16.1, qui apporte des corrections de bogues et des améliorations par rapport à la version précédente :

  • Par défaut, le processus smbd démarre automatiquement le nouveau processus samba-dcerpcd à la demande pour servir l'environnement informatique distribué / les appels de procédure à distance (DCERPC). Notez que Samba 4.16 et les versions ultérieures exigent toujours que samba-dcerpcd utilise DCERPC. Si vous désactivez le paramètre rpc start on demand helpers dans la section [global] du fichier /etc/samba/smb.conf, vous devez créer une unité de service systemd pour exécuter samba-dcerpcd en mode autonome.

  • Le rôle de la base de données triviale en grappe (CTDB) recovery master a été renommé en leader. En conséquence, les sous-commandes suivantes de ctdb ont été renommées :

    • recmaster à leader
    • setrecmasterrole à setleaderrole
  • La configuration CTDB recovery lock a été renommée cluster lock.
  • La CTDB utilise désormais les diffusions du chef de file et un délai associé pour déterminer si une élection est nécessaire.

Notez que le protocole server message block version 1 (SMB1) est obsolète depuis Samba 4.11 et sera supprimé dans une prochaine version.

Sauvegardez les fichiers de base de données avant de démarrer Samba. Lorsque les services smbd, nmbd, ou winbind démarrent, Samba met automatiquement à jour ses fichiers de base de données tdb. Notez que Red Hat ne prend pas en charge la rétrogradation des fichiers de base de données tdb.

Après avoir mis à jour Samba, vérifiez le fichier /etc/samba/smb.conf à l'aide de l'utilitaire testparm.

Pour plus d'informations sur les changements notables, lisez les notes de version en amont avant de procéder à la mise à jour.

(BZ#2077487)

SSSD prend désormais en charge l'intégration directe avec Windows Server 2022

Grâce à cette amélioration, vous pouvez utiliser SSSD pour intégrer directement votre système RHEL aux forêts Active Directory qui utilisent des contrôleurs de domaine exécutant Windows Server 2022.

(BZ#2070793)

Amélioration des performances multithread de SSSD

Auparavant, SSSD sérialisait les requêtes parallèles provenant d'applications multithread, telles que Red Hat Directory Server et Identity Management. Cette mise à jour corrige toutes les bibliothèques client SSSD, telles que nss et pam, afin qu'elles ne sérialisent pas les requêtes, permettant ainsi aux requêtes provenant de plusieurs threads d'être exécutées en parallèle pour de meilleures performances. Pour activer le comportement précédent de la sérialisation, définissez la variable d'environnement SSS_LOCKFREE sur NO.

(BZ#1978119)

Directory Server permet désormais d'annuler la tâche du plug-in Auto Membership.

Auparavant, la tâche du plug-in Auto Membership pouvait générer une utilisation élevée du CPU sur le serveur si Directory Server avait une configuration complexe (grands groupes, règles complexes et interaction avec d'autres plugins). Avec cette amélioration, vous pouvez annuler la tâche du plug-in Auto Membership. Par conséquent, les problèmes de performance ne se produisent plus.

(BZ#2052527)

Directory Server prend désormais en charge les opérations de suppression récursive lors de l'utilisation de ldapdelete

Avec cette amélioration, Directory Server prend désormais en charge le contrôle OpenLDAP Tree Delete Control [1.2.840.113556.1.4.805]. Par conséquent, vous pouvez utiliser l'utilitaire ldapdelete pour supprimer de manière récursive les sous-entrées d'une entrée parentale.

(BZ#2057063)

Vous pouvez désormais définir des options de réplication de base lors de l'installation de Directory Server

Avec cette amélioration, vous pouvez configurer les options de réplication de base comme les identifiants d'authentification et le découpage du changelog pendant l'installation d'une instance à l'aide d'un fichier .inf.

(BZ#2057066)

Directory Server prend désormais en charge la création d'instances par un utilisateur non root

Auparavant, les utilisateurs non root ne pouvaient pas créer d'instances de Directory Server. Avec cette amélioration, un utilisateur non root peut utiliser la sous-commande dscreate ds-root pour configurer un environnement dans lequel les commandes dscreate,dsctl,dsconf sont utilisées comme d'habitude pour créer et administrer des instances de Directory Server.

(BZ#1872451)

pki les paquets ont été renommés en idm-pki

Les paquetages pki suivants sont maintenant renommés en idm-pki afin de mieux distinguer les paquetages IDM de ceux du Système de certification Red Hat :

  • idm-pki-tools
  • idm-pki-acme
  • idm-pki-base
  • idm-pki-java
  • idm-pki-ca
  • idm-pki-kra
  • idm-pki-server
  • python3-idm-pki

(BZ#2139877)

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.