7.7. 身份管理
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
Jira:RHELPLAN-121751[1]
IdM 部署中的 DNS over TLS (DoT)作为技术预览提供
使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。
要开始使用此功能,请在 IdM 服务器和副本上安装 ipa-server-encrypted-dns
软件包,并在 IdM 客户端上安装 ipa-client-encrypted-dns
软件包。管理员可以使用-- dns-over-tls
选项在安装过程中启用 DoT。
IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能可以通过命令行界面(CLI)和 IdM 的非互动安装提供。
以下选项已添加到 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中:
-
--dot-forwarder
指定一个上游启用了 DoT 的 DNS 服务器。 -
--dns-over-tls-key
和--dns-over-tls-cert
来配置 DoT 证书。 -
--dns-policy
将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。
默认情况下,IdM 使用 relaxed
DNS 策略,该策略允许回退到未加密的 DNS。您可以使用新的 --dns-policy
选项和 enforced
设置来强制实施仅加密的通信。
您还可以通过将 ipa-dns-install
与新的 DoT 选项搭配使用,来在现有 IdM 部署中启用 DoT。
如需了解更多详细信息,请参阅 IdM 中使用 DoT 保护 DNS。
Jira:RHEL-67912, Jira:RHELDOCS-20058
IdM 到 IdM 迁移作为技术预览提供
IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate
命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-18408[1]
logconv.py
作为技术预览提供
logconv.py
工具在目录服务器中作为技术预览提供。logconv.py
是旧的 logconv.pl
工具的未来替代品,您可以使用它来分析目录服务器访问日志、提取使用情况统计,以及计算发生重要事件的次数。
工具语法:
logconv.py /var/log/dirsrv/slapd-<instance_name>/access
logconv.py /var/log/dirsrv/slapd-<instance_name>/access
有关工具选项和使用示例的详情,请运行 logconv.py -h
命令。