Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 5 章 认证和互操作性

容器中的 SSSD 现在被完全支持

rhel7/sssd 容器镜像(提供系统安全服务守护进程(SSSD))不再是一项技术预览功能。现在,镜像被完全支持。请注意,rhel7/ipa-server 容器镜像仍是一个技术预览功能。
详情请查看 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services。(BZ#1467260)

身份管理现在支持 FIPS

在这个版本中,身份管理(IdM)支持联邦信息处理标准(FIPS)。这可让您在必须满足 FIPS 条件的环境中运行 IdM。要运行启用了 FIPS 模式的 IdM,您必须使用启用了 FIPS 模式的 Red Hat Enterprise Linux 7.4 设置 IdM 环境中的所有服务器。
请注意,您无法:
  • 在以前安装的带有 FIPS 模式的现有 IdM 服务器中启用 FIPS 模式。
  • 当使用禁用了 FIPS 模式的现有 IdM 服务器时,以 FIPS 模式安装副本。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#prerequisites。(BZ#1125174)

SSSD 支持用户在使用智能卡进行身份验证时获取 Kerberos ticket

系统安全服务守护进程(SSSD)现在支持 Kerberos PKINIT 预身份验证机制。当使用在 Identity Management(IdM)域注册的桌面客户端系统验证到智能卡时,如果身份验证成功,用户会收到有效的 Kerberos ticket-granting ticket(TGT)。然后,用户可以使用 TGT 从客户端系统进行进一步的单点登录(SSO)身份验证。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-pkinit-auth.html。(BZ#1200767, BZ#1405075)

SSSD 支持使用相同的智能卡证书登录到不同的用户帐户

在以前的版本中,系统安全服务守护进程(SSSD)需要每个证书被唯一标识到单个用户。当使用智能卡验证时,具有多个帐户的用户无法使用相同的智能卡证书登录到所有这些帐户。例如,拥有个人帐户和功能帐户(如数据库管理员帐户)的用户只能登录到个人帐户。
在这个版本中,SSSD 不再需要将证书唯一标识到单个用户。现在,用户可以使用单个智能卡证书登录到不同的帐户。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html。(BZ#1340711, BZ#1402959)

IdM Web UI 启用智能卡登录

身份管理 Web UI 允许用户使用智能卡登录。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-web-ui-auth.html。(BZ#1366572)

新软件包: keycloak-httpd-client-install

keycloak-httpd-client-install 软件包提供各种库和工具,在注册作为 Red Hat Single Sign-On(RH-SSO,也称为 Keycloak)的 Identity Provider(IdP)客户端时,可以自动化和简化 Apache httpd 验证模块的配置。
有关 RH-SSO 的详情,请参考 https://access.redhat.com/products/red-hat-single-sign-on
作为这个更新的一部分,在 Red Hat Enterprise Linux 中添加了新的依赖软件包:
  • python-requests-oauthlib 软件包:此软件包提供对 python-requests 软件包的 OAuth 库支持,该软件包可让 python-requests 使用 OAuth 进行身份验证。
  • python-oauthlib 软件包:此软件包是一个 Python 库,提供 OAuth 身份验证消息的创建和消耗。它旨在与提供消息传输的工具一起使用。(BZ#1401781, BZ#1401783, BZ#1401784)

新的 Kerberos 凭证缓存类型:KCM

在这个版本中,添加了名为 kcm 的新 SSSD 服务。该服务包含在 sssd-kcm 子软件包中。
安装 kcm 服务后,您可以将 Kerberos 库配置为使用名为 KCM 的新凭据缓存类型。当配置了 KCM 凭证缓存类型时,sssd-kcm 服务管理凭证。
KCM 凭证缓存类型非常适合容器化环境:
  • 使用 KCM 时,您可以根据需求在容器间共享凭证缓存,基于 kcm 服务侦听的 UNIX 套接字。
  • kcm 服务在内核之外的用户空间中运行,这与 RHEL 默认使用的 KEYRING 凭证缓存类型不同。使用 KCM 时,您只能在所选容器中运行 kcm 服务。使用 KEYRING 时,所有容器共享凭据缓存,因为它们共享内核。
此外,KCM 凭据缓存类型支持缓存集合,这与 FILE ccache 类型不同。
详情请查看 sssd-kcm(8)man page。(BZ#1396012)

AD 用户可以登录到 Web UI,以访问其自助服务页面

在以前的版本中,Active Directory(AD)用户只能从命令行使用 kinit 程序进行验证。在这个版本中,AD 用户也可以登录到 Identity Management(IdM)Web UI。请注意,IdM 管理员必须在用户登录前为 AD 用户创建 ID 覆盖。
因此,AD 用户可以通过 IdM Web UI 访问其自助服务页面。自助服务页面显示 AD 用户 ID 覆盖的信息。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/using-the-ui.html#ad-users-idm-web-ui。(BZ#872671)

SSSD 在 SSSD 服务器模式中启用配置 AD 子域

在以前的版本中,System Security Services Daemon(SSSD)会自动配置可信的 Active Directory(AD)域。在这个版本中,SSSD 支持以与加入域相同的方法为可信 AD 域配置某些参数。
因此,您可以为可信域设置独立设置,如 SSSD 通信的域控制器。要做到这一点,请在 /etc/sssd/sssd.conf 文件中创建一个部分,其名称如下: 
[domain/main_domain/trusted_domain]
Copy to Clipboard Toggle word wrap
例如,如果主 IdM 域名为 ipa.com,并且可信 AD 域名为 ad.com,则对应的部分名称为: 
[domain/ipa.com/ad.com]
Copy to Clipboard Toggle word wrap
(BZ#1214491)

SSSD 支持使用 AD 环境中的短名称进行用户和组群查找和验证

在以前的版本中,System Security Services Daemon(SSSD)在没有域组件的情况下支持的用户名(也称为短名称)仅在守护进程加入到独立域时用于用户和组群。现在,您可以在这些环境中的所有 SSSD 域中使用短名称用于这些目的:
  • 在客户端上,加入 Active Directory(AD)
  • 在 Identity Management(IdM)部署中,信任与 AD 林的关系
所有命令的输出格式始终为完全限定的,即使在使用短名称时也是如此。当您以下列一种方式设置域的解析顺序列表后(按首选顺序列出)后,默认启用此功能:
  • 本地,通过在 /etc/sssd/sssd.conf 文件的 [sssd] 部分中使用 domain_resolution_order 选项配置列表
  • 使用 ID 视图
  • 在 IdM 配置中全局使用
要禁用该功能,请在 /etc/sssd/sssd.conf 文件的 [domain/example.com] 部分中将 use_fully_qualified_names 选项设置为 True。(BZ#1330196)

SSSD 在没有 UID 或 SID 的设置中支持用户和组群解析、验证和授权

在传统的系统安全服务守护进程(SSSD)部署中,用户和组设置了 POSIX 属性,或者 SSSD 可以根据 Windows 安全标识符(SID)解析用户和组。
在这个版本中,在使用 LDAP 作为身份提供程序的设置中,SSSD 现在支持以下功能,即使 LDAP 目录中没有包括 UID 或 SID:
  • 通过 D-Bus 接口用户和组群解析
  • 通过插件验证模块(PAM)接口(BZ#1425891)进行身份验证和授权

SSSD 引入了 sssctl user-checks 命令,该命令在单个操作中检查基本的 SSSD 功能

sssctl 程序现在包含一个名为 user-checks 的新命令。sssctl user-checks 命令有助于调试使用系统安全服务守护进程(SSSD)作为用户查找、身份验证和授权的后端的问题。
  • sssctl user-checks [USER_NAME] 命令显示通过 Name Service Switch(NSS)和 D-Bus 接口的 InfoPipe 响应程序可用的用户数据。显示的数据显示用户是否被授权使用 system-auth 可插拔验证模块(PAM)服务进行登录。
  • sssctl user-checks 检查验证或不同的 PAM 服务接受的附加选项。
如需有关 sssctl user-checks 的详细信息,请使用 sssctl user-checks --help 命令。(BZ#1414023)

支持 secret 作为服务

在这个版本中,在系统安全服务守护进程(SSSD)中添加了名为 secret 的响应程序。此响应器允许应用程序使用 Custodia API 通过 UNIX 套接字与 SSSD 通信。这可让 SSSD 将 secret 存储在其本地数据库中,或将其转发到远程 Custodia 服务器。(BZ#1311056)

IdM 在外部 DNS 服务器中启用 IdM DNS 记录的半自动升级

为了简化在外部 DNS 服务器上更新身份管理(IdM)DNS 记录,IdM 引入了 ipa dns-update-system-records --dry-run --out [file] 命令。命令以 nsupdate 实用程序接受的格式生成记录列表。
您可以使用通过 Transaction Signature(TSIG)协议保护的标准动态 DNS 更新机制或 TSIG(GSS-TSIG)协议的 GSS 算法来使用生成的文件来更新外部 DNS 服务器上的记录。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/dns-updates-external.html。(BZ#1409628)

IdM 现在生成 SHA-256 证书和密钥密钥指纹

在以前的版本中,在为证书和公钥生成指纹时,身份管理(IdM)使用 MD5 哈希算法。为提高安全性,IdM 现在在上述场景中使用 SHA-256 算法。(BZ#1444937)

IdM 支持将智能卡证书链接到用户帐户的灵活映射机制

在以前的版本中,查找与 Identity Management(IdM)中与特定智能卡对应的用户帐户的唯一方法是以 Base64 编码的 DER 字符串提供整个智能卡证书。在这个版本中,可以通过指定智能卡证书的属性而不是仅通过证书字符串本身来查找用户帐户。例如,管理员可以定义匹配和映射规则,将特定证书颁发机构(CA)发布的智能卡证书链接到 IdM 中的用户帐户。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html#sc-one-card-multiple-accounts-links。(BZ#1402959)

新的用户空间工具启用更方便的 LMDB 调试

在这个版本中,在 /usr/libexec/openldap/ 目录中引入了 mdb_copymdb_dumpmdb_loadmdb_stat 工具。此外,还在 man/man1 子目录中包含相关的 man page。使用新工具调试与 Lightning Memory-Mapped Database(LMDB)后端相关的问题。(BZ#1428740)

openldap rebase 到版本 2.4.44

openldap 软件包已升级到上游版本 2.4.44,它提供很多程序错误修复和增强。特别是,这个版本修复了许多复制和 Lightning Memory-Mapped Database(LMDB)错误。(BZ#1386365)

改进了身份管理中服务主体查询的 DNS 查找和稳健性的安全性

在发出 ticket-granting 服务器(TGS)请求时,Kerberos 客户端库不再尝试规范主机名。这个功能改进了:
  • 安全性,因为之前在规范过程中需要的 DNS 查找不再执行
  • 在更复杂的 DNS 环境中实现服务主体查找的稳健性,如云或容器化应用程序
确保在主机和服务主体中指定正确的完全限定域名(FQDN)。由于此行为有这种变化,Kerberos 不会试图使用主体(如短名称)解析任何其他形式的名称。(BZ#1404750)

samba rebase 到版本 4.6.2

samba 软件包已升级到 4.6.2 版本,它提供很多程序错误修复和增强:
  • Samba 现在会在 winbindd 服务启动前验证 ID 映射配置。如果配置无效,则 winbindd 无法启动。使用 testparm 实用程序验证您的 /etc/samba/smb.conf 文件。详情请查看 smb.conf man page 中的 IDENTITY MAPPING CONSIDERATIONS 部分。
  • 从 Windows 10 上传打印机驱动程序现在可以正常工作。
  • 在以前的版本中,rpc 服务器动态端口范围 参数的默认值是 1024-1300。在这个版本中,默认值被改为 49152-65535,现在与 Windows Server 2008 及之后的版本中使用的范围匹配。如果需要,更新您的防火墙规则。
  • net ads unregister 命令现在可以在离开域时从 Active Directory DNS 区域中删除主机的 DNS 条目。
  • 现在,在 smb2 租期参数中默认启用 SMB 2.1 租期。SMB leasing 使客户端能够积极缓存文件。
  • 为提高安全性,现在默认禁用 NT LAN Manager 版本 1(NTLMv1)协议。如果您需要不安全的 NTLMv1 协议,请将 /etc/samba/smb.conf 文件中的 ntlm auth 参数设置为 yes
  • event 子命令已添加到 ctdb 实用程序中,用于与事件脚本交互。
  • idmap_hash ID 映射后端将在以后的 Samba 版本中删除。
  • 弃用 的唯一用户 和用户名 参数已被删除。
smbd、nmbd 或 winbind 守护进程启动时,Samba 会自动更新其 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
有关显著变化的更多信息,请在更新前阅读上游发行注记。(BZ#1391954)

authconfig 可以启用 SSSD 来使用智能卡验证用户

这个新功能允许 authconfig 命令配置系统安全服务守护进程(SSSD)以使用智能卡验证用户,例如: 
# authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall
Copy to Clipboard Toggle word wrap
在这个版本中,智能卡验证可以在没有安装 pam_pkcs11 的系统中执行。但是,如果安装了 pam_pkcs11,则忽略 --smartcardmodule=sssd 选项。相反,/etc/pam_pkcs11/pam_pkcs11.conf 中定义的第一个 pkcs11_module 被用作默认。
详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/auth-idm-client-sc.html。(BZ#1378943)

authconfig 现在可以启用帐户锁定

在这个版本中,为 authconfig 命令添加了 --enablefaillock 选项。启用 选项时,配置的帐户将在 15 分钟间隔内连续 4 个登录尝试后锁定 20 分钟。(BZ#1334449)

提高了 IdM 服务器的性能

Identity Management(IdM)服务器在许多常见工作流和设置之间性能较高。这些改进包括:
  • 通过减少 IdM 服务器管理框架中的往返情况,提高了 Vault 性能。
  • IdM 服务器管理框架经过调整,可缩短内部通信和验证所需的时间。
  • 使用 nunc-stans 框架使得 Directory 服务器连接管理更具扩展性。
  • 在新安装中,Directory 服务器现在根据服务器的硬件资源自动调整数据库条目缓存和线程数量。
  • 使用大型或嵌套组时,memberOf 插件性能有所提高。(BZ#1395940, BZ#1425906, BZ#1400653)

IdM web UI 中的默认会话过期周期已改变

在以前的版本中,当用户使用用户名和密码登录到 Identity Management(IdM)web UI 时,web UI 会在 20 分钟不活跃后自动将用户注销。在这个版本中,默认会话长度与在登录操作过程中获得的 Kerberos 票据的过期期限相同。要更改默认会话长度,请使用 /etc/ipa/default.conf 文件中的 kinit_lifetime 选项,然后重新启动 httpd 服务。(BZ#1459153)

dbmon.sh 脚本现在使用实例名称来连接 Directory 服务器实例

dbmon.sh shell 脚本可让您监控 Directory Server 数据库和条目缓存使用情况。在这个版本中,该脚本不再使用 HOSTPORT 环境变量。为了支持安全绑定,脚本现在从 SERVID 环境变量读取 Directory Server 实例名称,并在服务器需要安全连接时检索主机名、端口和信息。例如,要监控 slapd-localhost 实例,请输入: 
SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh
Copy to Clipboard Toggle word wrap
(BZ#1394000)

目录服务器现在使用 SSHA_512 密码存储方案作为默认方案

在以前的版本中,Directory 服务器使用弱 160 位 salted 安全哈希算法(SSHA)作为 passwordStorageSchemensslapd-rootpwstoragescheme 参数中的默认密码存储方案。为提高安全性,这两个参数的默认值都改为强大的 512 位 SSHA 方案(SSHA_512)。
使用新默认:
  • 执行新目录服务器安装时。
  • 如果没有设置 passwordStorageScheme 参数,并更新存储在 userPassword 属性中的密码。
  • 当未设置 nsslapd-rootpw storagescheme 参数时,您将更新 nsslapd-rootpw 属性中设置的 Directory Server Manager 密码。(BZ#1425907)

目录服务器现在使用 tcmalloc memory allocator

Red Hat Directory Server 现在使用 tcmalloc 内存分配器。以前使用的标准 glibc Allocator 需要更多内存,在某些情况下,服务器可能会耗尽内存。使用 tcmalloc memory allocator 时,Directory 服务器现在需要较少的内存,且性能会提高。(BZ#1426275)

目录服务器现在使用 nunc-stans 框架

nunc-stans 事件框架已集成到目录服务器中。在以前的版本中,当将许多同时传入的连接时与 Directory Server 建立时,性能可能会较慢。在这个版本中,服务器可以在不降低性能下降的情况下处理大量连接。(BZ#1426278, BZ#1206301, BZ#1425906)

提高了 Directory Server memberOf 插件的性能

在以前的版本中,当使用大型或嵌套组时,插件操作可能需要很长时间。在这个版本中,Red Hat Directory Server memberOf 插件的性能有所提高。现在,memberOf 插件会添加并更快地从组中删除用户。(BZ#1426283)

目录服务器现在在错误日志文件中记录严重性级别

目录服务器现在在 /var/log/dirsrv/slapd-instance_name/errors 日志文件中记录严重性级别。在以前的版本中,很难区分错误日志文件中的条目的严重性。在这个版本中,管理员可以使用严重性级别来过滤错误日志。
详情请查看 Red Hat Directory Server Configuration、命令和文件参考中对应的部分: https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content (BZ#1426289)

目录服务器现在支持 PBKDF2_SHA256 密码存储方案

为提高安全性,这个更新将基于 256 位密码的密钥分隔功能 2(PBKDF2_SHA256)添加到目录服务器中支持的 password-storage 方案列表中。方案使用 30,000 迭代来应用 256 位安全哈希算法(SHA256)。
请注意,在版本 7.4 之前的 Red Hat Enterprise Linux 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您不能在带有上一目录服务器版本的复制拓扑中使用这个密码方案。(BZ#1436973)

改进了 Directory 服务器的自动调整支持

在以前的版本中,您需要监控数据库并手动调整设置以提高性能。在这个版本中,Directory 服务器支持针对以下情况进行优化:
  • 数据库和条目缓存
  • 创建的线程数量
目录服务器根据服务器的硬件资源调整这些设置。
现在,如果您安装一个新的 Directory Server 实例,则会自动启用自动调整。在从早期版本升级的实例中,红帽建议启用自动调整。详情请查看:

新的 PKI 配置参数允许控制 TCP keepalive 选项

在这个版本中,在 CS.cfg 配置文件中添加了 tcp.keepAlive 参数。此参数接受布尔值,默认设置为 true。使用此参数为 PKI 子系统创建的所有 LDAP 连接配置 TCP keepalive 选项。当证书需要很长时间且连接闲置过长时,这个选项非常有用。(BZ#1413132)

PKI Server 现在使用强加密创建 PKCS #12 文件

在生成 PKCS #12 文件时,pki pkcs12 命令以前使用 PKCS #12 弃用的键 derivation 功能(KDF)和 triple DES(3DES)算法。在这个版本中,命令使用基于密码的加密标准 2(PBES2)方案,并带有基于密码的身份验证功能 2(PBKDF2)和高级加密标准(AES)算法来加密私钥。因此,这个功能增强提高了安全性并符合通用标准认证要求。(BZ#1426754)

用于加密操作的 CC 兼容算法

通用标准要求使用已批准的算法进行加密和解密操作。这些算法在为认证颁发机构保护配置集中的 FCS_COP.1.1(1)中指定。这个版本修改 KRA 中的加密和解密,以使用批准的 AES 加密并在 secret 和密钥的传输和存储中嵌套算法。此更新在服务器和客户端软件中均需要更改。(BZ#1445535)

新的选项,允许在 TPS 接口中配置菜单项可见性

在以前的版本中,在令牌处理 系统 (TPS)用户界面下分组的菜单项根据用户角色进行静态决定。在某些情况下,显示的菜单项与用户实际访问的组件不匹配。在这个版本中,TPS 用户界面中的 System 菜单只根据 TPS 管理员的 target.configure.list 参数和 TPS 代理的 target.agent_approve.list 参数显示菜单项。这些参数可以在实例 CS.cfg 文件中修改,以匹配可访问的组件。(BZ#1391737)

添加了配置集组件,将证书 Subject Common Name 复制到 Subject Alternative Name 扩展

现在,当 DNS 名称只出现在 Subject Common Name(CN)字段中时,一些 TLS 库会警告或拒绝验证 DNS 名称,这是 RFC 2818 中弃用的实践。在这个版本中,添加了 CommonNameToSANDefault 配置集组件,它将 Subject Common Name 复制到 Subject Alternative Name(SAN)扩展中,并确保证书符合当前标准。(BZ#1305993)

在 LDIF 导入前删除 LDAP 条目的新选项

迁移 CA 时,如果 LDIF 导入前存在 LDAP 条目,则不会从 LDAP 导入重新创建该条目,从而导致缺少一些字段。因此,请求 ID 会显示为 undefined。在这个版本中,添加了一个选项,删除 pkispawn 进程末尾的签名证书的 LDAP 条目。然后会在后续的 LDIF 导入中重新创建此条目。现在,如果删除了签名条目并在 LDIF 导入中重新添加,请求 ID 和其他字段会正确显示。要添加的正确参数是(X 代表正在导入的签名证书的序列号,以十进制表示): 
pki_ca_signing_record_create=False
pki_ca_signing_serial_number=X
Copy to Clipboard Toggle word wrap
(BZ#1409946)

证书系统现在支持外部验证的用户

在以前的版本中,您需要在证书系统中创建用户和角色。在这个版本中,您可以将证书系统配置为接受外部身份提供程序验证的用户。另外,您还可以使用特定于域的授权访问控制列表(ACL)。因此,不再需要在证书系统中创建用户。(BZ#1303683)

证书系统现在支持启用和禁用证书和 CRL 发布

在此次更新之前,如果在证书颁发机构(CA)中启用了发布,证书系统会自动启用证书撤销列表(CRL)和证书发布。因此,在没有启用证书发布的服务器中,错误消息会被记录。证书系统已被改进,现在支持独立于 /var/lib/pki/<instance>/ca/conf/CS.cfg 文件中的启用和禁用证书和 CRL 发布。
要启用或禁用证书和 CRL 发布功能,请设置: 
ca.publish.enable = True|False
Copy to Clipboard Toggle word wrap
要只启用 CRL 发布,请设置: 
ca.publish.enable = True
ca.publish.cert.enable = False
Copy to Clipboard Toggle word wrap
要只启用证书发布,请设置: 
ca.publish.enable = True
ca.publish.crl.enable = False
Copy to Clipboard Toggle word wrap
(BZ#1325071)

searchBase 配置选项已添加到 DirAclAuthz PKI Server 插件中

为了支持读取不同组授权访问控制列表(ACL),在 DirAclAuthz PKI 服务器插件中添加了 searchBase 配置选项。因此,您可以设置插件从中加载 ACL 的子树。(BZ#1388622)

为了提高性能,证书系统现在支持临时

在此次更新之前,证书系统密钥恢复代理(KRA)实例始终存储在 LDAP 后端中的 secret 的恢复和存储请求。如果多个代理必须批准请求,则需要此项来存储状态。但是,如果立即处理请求,且只有一个代理必须批准请求,则不需要存储状态。要提高性能,您现在可以在 /var/lib/pki/<instance>/kra/conf/CS.cfg 文件中设置 kra. ephemeralRequests=true 选项,使其不再将请求存储在 LDAP 后端中。(BZ#1392068)

PKI 部署配置文件中的部分标头不再区分大小写

PKI 部署配置文件中的部分标头(如 [Tomcat])在之前区分大小写。这个行为会增加错误的机会,而无好处。从本发行版本起,配置文件中部分标头不区分大小写,减少了发生错误的机会。(BZ#1447144)

证书系统现在支持在启用了 FIPS 的 Red Hat Enterprise Linux 上使用 HSM 安装 CA

在安装证书系统证书颁发机构(CA)实例期间,安装程序需要重启该实例。在这个重启过程中,操作系统中的实例启用了联邦信息处理标准(FIPS)模式并使用硬件安全模块(HSM),需要连接到不安全的 HTTP 端口而不是 HTTPS 端口。在这个版本中,可以使用 HSM 在启用了 FIPS 的 Red Hat Enterprise Linux 上安装证书系统实例。(BZ#1450143)

CMC 请求现在为 AES 和 3DES 加密使用一个随机 IV

在这个版本中,PKI 服务器中的证书管理通过 CMS(CMC)请求在加密要存档的密钥时使用随机生成的初始化向量(IV)。在以前的版本中,在这种情况下,客户端和服务器代码使用固定 IV。CMC 客户端代码已被改进,因此,当为高级加密标准(AES)和 Triple Data Encryption Algorithm(3DES)进行加密时,使用随机 IVs 增加安全性。(BZ#1458055)
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat