红帽全球峰会7.8. 身份管理
IdM 部署中的 DNS over TLS (DoT)作为技术预览提供
使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。
要开始使用此功能,请在 IdM 服务器和副本上安装 ipa-server-encrypted-dns 软件包,并在 IdM 客户端上安装 ipa-client-encrypted-dns 软件包。管理员可以使用-- dns-over-tls 选项在安装过程中启用 DoT。
IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能通过命令行界面(CLI)和 IdM 的非互动安装提供。
以下选项已添加到 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中:
-
--dot-forwarder指定一个上游启用了 DoT 的 DNS 服务器。 -
--dns-over-tls-key和--dns-over-tls-cert来配置 DoT 证书。 -
--dns-policy将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。
默认情况下,IdM 使用 relaxed DNS 策略,该策略允许回退到未加密的 DNS。您可以使用新的 --dns-policy 选项和 enforced 设置来强制实施仅加密的通信。
您还可以通过将 ipa-dns-install 与新的 DoT 选项搭配使用,来在现有 IdM 部署中启用 DoT。
如需了解更多详细信息,请参阅 IdM 中使用 DoT 保护 DNS。
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
Jira:RHELDOCS-20690[1]
IdM 到 IdM 迁移作为技术预览提供
IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-18408[1]
现在,IdM 的 ansible-freeipa 安装中提供了带有 DoT 的加密的 DNS 作为技术预览
现在,您可以使用 Ansible 来确保 DNS 客户端和身份管理(IdM) DNS 服务器之间的所有 DNS 查询和响应都已加密。从 RHEL 10 开始,使用 DNS 的加密 DNS (DoT)在 IdM 部署中作为技术预览提供。在 RHEL 10.1 中,功能在 freeipa.ansible_freeipa 集合中作为技术预览提供。
要使用 ansible-freeipa 在 IdM 部署过程中启用 DoT,请使用以下选项:
-
ipaserver_dns_over_tls,带有新服务器的freeipa.ansible_freeipa.ipaserver角色。 -
带有
freeipa.ansible_freeipa.ipareplica角色的ipareplica_dns_over_tls。 -
dot_forwarder指定启用了上游的 DoT 的 DNS 服务器。 -
dns_over_tls_key和dns_over_tls_cert来配置 DoT 证书。
另外,您可以将 dns_policy 变量设置为强制 DoT-only 通信,覆盖允许回退到未加密的 DNS 的默认行为。
Jira:RHELDOCS-20258[1]
IdM 到 IdM 迁移作为技术预览提供
IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-19500[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}