SuporteConsoleDesenvolvedoresComeçar um testeContato

5.12. Gestão da Identidade

IdM agora suporta novos módulos de gerenciamento Ansible management

Esta atualização introduz vários módulos ansible-freeipa para automatizar tarefas comuns de Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis:

  • O módulo ipauser automatiza a adição e remoção de usuários.
  • O módulo ipagroup automatiza a adição e remoção de usuários e grupos de usuários de e para grupos de usuários.
  • O módulo ipahost automatiza a adição e remoção de hospedeiros.
  • O módulo ipahostgroup automatiza a adição e remoção de hosts e grupos anfitriões de e para grupos anfitriões.
  • O módulo ipasudorule automatiza o gerenciamento do comando sudo e da regra sudo.
  • O módulo ipapwpolicy automatiza a configuração das políticas de senhas na IdM.
  • O módulo ipahbacrule automatiza o gerenciamento do controle de acesso baseado em host na IdM.

Note que você pode combinar duas ou mais chamadas ipauser em uma com a variável usuários ou, alternativamente, usar um arquivo JSON contendo os usuários. Da mesma forma, você pode combinar duas ou mais chamadas ipahost em uma com a variável hosts ou, alternativamente, usar um arquivo JSON contendo os hosts. O módulo ipahost também pode garantir a presença ou ausência de vários endereços IPv4 e IPv6 para um host.

(JIRA:RHELPLAN-37713)

IdM Healthcheck agora suporta a triagem de registros DNS

Esta atualização introduz um teste manual independente dos registros DNS em um servidor de Gerenciamento de Identidade (IdM).

O teste usa a ferramenta Healthcheck e realiza uma consulta DNS usando o resolvedor local no arquivo etc/resolv.conf. O teste garante que os registros DNS esperados necessários para a auto-descoberta sejam resolvidos.

(JIRA:RHELPLAN-37777)

A integração direta da RHEL no AD usando SSSD agora suporta FIPS

Com este aperfeiçoamento, o System Services Security Daemon (SSSD) agora se integra às implantações do Active Directory (AD) cujos mecanismos de autenticação utilizam tipos de criptografia que foram aprovados pelo Federal Information Processing Standard (FIPS). O aprimoramento permite integrar diretamente os sistemas RHEL ao AD em ambientes que devem atender aos critérios FIPS.

(BZ#1841170)

O protocolo SMB1 foi desativado por padrão no servidor Samba e nas utilidades do cliente

No Samba 4.11, os valores padrão do protocolo servidor min e os parâmetros do protocolo cliente min foram alterados de NT1 para SMB2_02 porque o protocolo de bloco de mensagens do servidor versão 1 (SMB1) foi depreciado. Se você não tiver definido estes parâmetros no arquivo /etc/samba/smb.conf:

  • Os clientes que suportam apenas SMB1 não são mais capazes de se conectar ao servidor Samba.
  • Os utilitários do cliente Samba, como o smbclient, e a biblioteca libsmbclient não conseguem se conectar a servidores que só suportam SMB1.

A Red Hat recomenda que não se utilize o protocolo SMB1. Entretanto, se seu ambiente exigir o SMB1, você pode reativar o protocolo manualmente.

Para reativar o SMB1 em um servidor Samba:

  • Adicione a seguinte configuração ao arquivo /etc/samba/smb.conf: 
server min protocol = NT1
  • Reinicie o serviço smb: 
# systemctl restart smb

Para reativar o SMB1 para as utilidades dos clientes Samba e a biblioteca libsmbclient:

  • Adicione a seguinte configuração ao arquivo /etc/samba/smb.conf: 
protocolo cliente min = NT1
  • Reinicie o serviço smb: 
# systemctl restart smb

Note que o protocolo SMB1 será removido em um futuro lançamento do Samba.

(BZ#1785248)

samba rebaseado para a versão 4.11.2

Os pacotes samba foram atualizados para a versão 4.11.2, que fornece uma série de correções e melhorias em relação à versão anterior. Mudanças notáveis incluem:

  • Por padrão, o protocolo de bloco de mensagens do servidor versão 1 (SMB1) está agora desabilitado no servidor Samba, nos utilitários do cliente e na biblioteca da libsmbclient. Entretanto, ainda é possível definir manualmente os parâmetros do protocolo server min e client min protocol para NT1 para reativar o SMB1. A Red Hat não recomenda a reativação do protocolo SMB1.
  • Os parâmetros do lanman auth e criptografar senhas são depreciados. Estes parâmetros permitem autenticação insegura e só estão disponíveis no protocolo SMB1 depreciado.
  • O parâmetro -o foi removido da utilidade do banco de dados trivial agrupado onode (CTDB).
  • O Samba agora usa a biblioteca GnuTLS para criptografia. Como resultado, se o modo FIPS no RHEL estiver habilitado, o Samba está em conformidade com a norma FIPS.
  • O serviço ctdbd agora registra quando utiliza mais de 90% de uma linha de CPU.
  • O suporte Python 2 depreciado foi removido.

O Samba atualiza automaticamente seus arquivos de banco de dados tdb quando o serviço smbd, nmbd, ou winbind é iniciado. Faça o backup dos arquivos do banco de dados antes de iniciar o Samba. Note que a Red Hat não suporta o downgrade dos arquivos de banco de dados tdb.

Para mais informações sobre mudanças notáveis, leia as notas de lançamento a montante antes de atualizar: https://www.samba.org/samba/history/samba-4.11.0.html

(BZ#1754409)

Servidor de Diretório rebaseado para a versão 1.4.2.4

Os pacotes 389-ds-base foram atualizados para a versão upstream 1.4.2.4, que fornece uma série de correções e melhorias de bugs em relação à versão anterior. Para uma lista completa de mudanças notáveis, leia as notas de lançamento upstream antes de atualizar:

(BZ#1748994)

Alguns scripts legados foram substituídos no Directory Server

Este aprimoramento fornece substitutos para os scripts legados dbverify, validate-syntax.pl, cl-dump.pl, fixup-memberuid.pl e repl-monitor.pl não suportados no Directory Server. Estes scripts foram substituídos com os seguintes comandos:

  • dbverify: dsctl instance_name dbverify
  • validate-syntax.pl: dsconf schema validate-syntax
  • cl-dump.pl: dsconf replicação dsconf dump-changelog
  • fixup-memberuid.pl: dsconf plugin posix-winsync fixup
  • repl-monitor.pl: monitor de replicação dsconf

Para uma lista de todos os scripts legados e suas substituições, veja utilitários de linha de comando substituídos no Red Hat Directory Server 11.

(BZ#1739718)

A criação do IdM como uma réplica oculta é agora totalmente suportada

O Gerenciamento de Identidade (IdM) no RHEL 8.2 suporta totalmente a configuração de servidores IdM como réplicas ocultas. Uma réplica oculta é um servidor IdM que tem todos os serviços funcionando e disponíveis. Entretanto, ela não é anunciada para outros clientes ou masters porque não existem registros SRV para os serviços no DNS, e as funções do servidor LDAP não estão habilitadas. Portanto, os clientes não podem usar a descoberta de serviços para detectar réplicas ocultas.

As réplicas ocultas são projetadas principalmente para serviços dedicados que de outra forma podem perturbar os clientes. Por exemplo, um backup completo da IdM requer o encerramento de todos os serviços da IdM no master ou réplica. Como nenhum cliente usa uma réplica oculta, os administradores podem fechar temporariamente os serviços neste host sem afetar nenhum cliente. Outros casos de uso incluem operações de alta carga na API do IdM ou no servidor LDAP, tais como uma importação em massa ou consultas extensivas.

Para instalar uma nova réplica oculta, use o comando ipa-replica-install --hidden-replica. Para alterar o estado de uma réplica existente, use o comando ipa server-state.

Para mais detalhes, consulte Instalando uma réplica oculta da IdM.

(BZ#1719767)

A política de bilhetes Kerberos agora suporta indicadores de autenticação

Os indicadores de autenticação são anexados aos bilhetes Kerberos com base nos quais o mecanismo de pré-autenticação foi usado para adquirir o bilhete:

  • otp para autenticação de dois fatores (senha OTP)
  • raio para autenticação RADIUS
  • pkinit para PKINIT, cartão inteligente ou autenticação de certificado
  • endurecido para senhas endurecidas (SPAKE ou FAST)

O Centro de Distribuição Kerberos (KDC) pode aplicar políticas tais como controle de acesso a serviços, duração máxima do bilhete e idade máxima renovável, nos pedidos de bilhetes de serviço que se baseiam nos indicadores de autenticação.

Com este aprimoramento, os administradores podem obter um controle mais preciso sobre a emissão de tickets de serviço, exigindo indicadores específicos de autenticação dos tickets de um usuário.

(BZ#1777564)

O pacote krb5 agora está em conformidade com o FIPS

Com este aprimoramento, a criptografia não conforme é proibida. Como resultado, os administradores podem usar Kerberos em ambientes regulados por FIPS.

(BZ#1754690)

O servidor de diretório define o parâmetro sslVersionMin com base na política de criptografia de todo o sistema

Por padrão, o Directory Server agora define o valor do parâmetro sslVersionMin com base na política de criptografia do sistema. Se você definir o perfil da política de criptografia no arquivo /etc/crypto-policies/config para:

  • DEFAULT, FUTURO, ou FIPS, Conjuntos de Servidores de Diretório sslVersionMin para TLS1.2
  • LEGACY, Servidor de Diretório define sslVersionMin para TLS1.0

Alternativamente, você pode definir manualmente o sslVersionMin para um valor mais alto do que o definido na política criptográfica: 

# dsconf -D |"cn=Directory Manager" __ldap://server.example.com__ conjunto de segurança --tls-protocol-min TLS1.3

(BZ#1828727)

O SSSD agora impõe por padrão os GPO AD

A configuração padrão para a opção SSSD ad_gpo_access_control está agora fazendo cumprir. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).

A Red Hat recomenda garantir que os GPOs sejam configurados corretamente no Active Directory antes de atualizar de RHEL 7 para RHEL 8. Se você não quiser reforçar os GPOs, altere o valor da opção ad_gpo_access_control no arquivo /etc/sssd/sssd.conf para permissivo.

(JIRA:RHELPLAN-51289)

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.