7.7. 身份管理


DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:

请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。

Jira:RHELPLAN-121751[1]

IdM 部署中的 DNS over TLS (DoT)作为技术预览提供

使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。

要开始使用此功能,请在 IdM 服务器和副本上安装 ipa-server-encrypted-dns 软件包,并在 IdM 客户端上安装 ipa-client-encrypted-dns 软件包。管理员可以使用-- dns-over-tls 选项在安装过程中启用 DoT。

IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能可以通过命令行界面(CLI)和 IdM 的非互动安装提供。

以下选项已添加到 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中:

  • --dot-forwarder 指定一个上游启用了 DoT 的 DNS 服务器。
  • --dns-over-tls-key--dns-over-tls-cert 来配置 DoT 证书。
  • --dns-policy 将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。

默认情况下,IdM 使用 relaxed DNS 策略,该策略允许回退到未加密的 DNS。您可以使用新的 --dns-policy 选项和 enforced 设置来强制实施仅加密的通信。

您还可以通过将 ipa-dns-install 与新的 DoT 选项搭配使用,来在现有 IdM 部署中启用 DoT。

如需了解更多详细信息,请参阅 IdM 中使用 DoT 保护 DNS

Jira:RHEL-67912, Jira:RHELDOCS-20058

IdM 到 IdM 迁移作为技术预览提供

IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。

Jira:RHELDOCS-18408[1]

logconv.py 作为技术预览提供

logconv.py 工具在目录服务器中作为技术预览提供。logconv.py 是旧的 logconv.pl 工具的未来替代品,您可以使用它来分析目录服务器访问日志、提取使用情况统计,以及计算发生重要事件的次数。

工具语法:

logconv.py /var/log/dirsrv/slapd-<instance_name>/access
Copy to Clipboard Toggle word wrap

有关工具选项和使用示例的详情,请运行 logconv.py -h 命令。

Jira:RHEL-59513

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat