红帽全球峰会9.11. 身份管理
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
HSM 支持作为技术预览提供
现在在身份管理(IdM)中,硬件安全模块(HSM)支持作为技术预览提供。您可以将 IdM CA 和 KRA 的密钥对和证书存储在 HSM 上。这为私钥材料增加了物理安全。
IdM 依赖于 HSM 的网络功能,来在机器之间共享密钥来创建副本。HSM 提供了额外的安全性,而不会明显影响大多数 IPA 操作。当使用低级别工具时,证书和密钥会以不同的方式处理,但对大多数用户来说这是无缝的。
不支持将现有 CA 或 KRA 迁移到基于 HSM 的设置中。您需要在 HSM 上使用密钥重新安装 CA 或 KRA。
您需要以下内容:
- 一个支持的 HSM
- HSM PKCS #11 库
- 一个可用的插槽、令牌和令牌密码
要使用存储在 HSM 上的密钥安装 CA 或 KRA,您必须指定令牌名称和 PKCS #11 库的路径。例如:
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]
LMDB 数据库类型在目录服务器中作为技术预览提供
Lightning Memory-Mapped 数据库(LMDB)在目录服务器中作为不被支持的技术预览提供。
目前,您可以只使用命令行迁移或安装带有 LMDB 的实例。
要将现有实例从 Berkeley Database (BDB)迁移到 LMDB,请使用 dsctl instance_name dblib bdb2mdb 命令,其将 nsslapd-backend-implement 参数值设置为 mdb。请注意,这个命令不清理旧数据。您可以通过将 nsslapd-backend-implement 改回到 bdb 来恢复数据库类型。如需了解更多详细信息,请参阅 将现有 DS 实例上的数据库类型从 BDB 迁移到 LMDB。
- 重要的
- 在将现有实例从 BDB 迁移到 LMDB 之前,请备份您的数据库。如需了解更多详细信息,请参阅 备份目录服务器。
要创建带有 LMDB 的新实例,您可以使用以下方法之一:
-
在交互式安装程序中,在 Choose whether mdb or bdb is used 行上设置
mdb。如需了解更多详细信息,请参阅 使用交互式安装程序创建实例。 -
在
.inf文件中,在 [slapd] 部分中设置db_lib = mdb。如需了解更多详细信息,请参阅 为目录服务器实例安装创建一个.inf文件。
目录服务器在 cn=mdb,cn=config,cn=ldbm database,cn=plugins,cn=config 条目下存储 LMDB 设置,其中包含以下新配置参数:
nsslapd-mdb-max-size设置数据库最大大小(以字节为单位)。重要:确保
nsslapd-mdb-max-size足够大,以存储所有预期的数据。但是,参数大小不能太大,以免影响性能,因为数据库文件是内存映射的。-
nsslapd-mdb-max-readers设置可以同时打开的最大读操作数。目录服务器自动调整此设置。 -
nsslapd-mdb-max-dbs设置指定可包含在内存映射的数据库文件中的最大数据库实例数。
除了新的 LMDB 设置,您还可以使用 nsslapd-db-home-directory 数据库配置参数。
如果是混合实现的情况,您可以在复制拓扑中有 BDB 和 LMDB 副本。
Jira:RHELDOCS-19061[1]
ACME 支持将自动删除过期的证书作为一个技术预览
身份管理(IdM)中的自动证书管理环境(ACME)服务添加了一个自动机制,来作为一个技术预览清除证书颁发机构(CA)中的过期证书。现在,ACAC 可以在指定间隔自动删除过期的证书。默认情况下,删除过期的证书被禁用。要启用它,请输入:
有了这个增强,ACAC 可以在指定的间隔自动删除过期的证书。
默认情况下,删除过期的证书被禁用。要启用它,请输入:
# ipa-acme-manage pruning --enable --cron "0 0 1 * *"
这会在每月第一天的物业删除过期的证书。
过期的证书会在保留周期后被删除。默认情况下,这是过期后 30 天。
详情请查看 ipa-acme-manage (1) 手册页。
IdM 到 IdM 迁移作为技术预览提供
IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-18408[1]
