7.7. 身份管理

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档：

请注意，集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。

Jira:RHELPLAN-121751^[1]

IdM 部署中的 DNS over TLS (DoT)作为技术预览提供

使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。

要开始使用此功能，请在 IdM 服务器和副本上安装 ipa-server-encrypted-dns 软件包，并在 IdM 客户端上安装 ipa-client-encrypted-dns 软件包。管理员可以使用-- dns-over-tls 选项在安装过程中启用 DoT。

IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能可以通过命令行界面(CLI)和 IdM 的非互动安装提供。

以下选项已添加到 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中：

--dot-forwarder 指定一个上游启用了 DoT 的 DNS 服务器。
--dns-over-tls-key 和 --dns-over-tls-cert 来配置 DoT 证书。
--dns-policy 将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。

默认情况下，IdM 使用 relaxed DNS 策略，该策略允许回退到未加密的 DNS。您可以使用新的 --dns-policy 选项和 enforced 设置来强制实施仅加密的通信。

您还可以通过将 ipa-dns-install 与新的 DoT 选项搭配使用，来在现有 IdM 部署中启用 DoT。

如需了解更多详细信息，请参阅 IdM 中使用 DoT 保护 DNS。

Jira:RHEL-67912, Jira:RHELDOCS-20058

IdM 到 IdM 迁移作为技术预览提供

IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据（如 SUDO 规则、HBAC、DNA 范围、主机、服务等）迁移到其他 IdM 服务器。这非常有用，例如，当将 IdM 从开发或暂存环境移到生产环境时，或者在两个生产服务器之间迁移 IdM 数据时。

Jira:RHELDOCS-18408^[1]

logconv.py 作为技术预览提供

logconv.py 工具在目录服务器中作为技术预览提供。logconv.py 是旧的 logconv.pl 工具的未来替代品，您可以使用它来分析目录服务器访问日志、提取使用情况统计，以及计算发生重要事件的次数。

工具语法：

logconv.py /var/log/dirsrv/slapd-<instance_name>/access

logconv.py /var/log/dirsrv/slapd-<instance_name>/access

Copy to Clipboard

Toggle word wrap

有关工具选项和使用示例的详情，请运行 logconv.py -h 命令。

Jira:RHEL-59513

返回顶部

7.7. 身份管理

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links