第 5 章 认证和互操作性
证书系统现在默认支持其他强大的密码
在这个版本中,以下附加密码与联邦信息处理标准(FIPS)兼容,在证书系统中默认启用:
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_GCM_SHA384
有关启用的密码的完整列表,请输入:
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
如果您将硬件安全模块(HSM)与证书系统搭配使用,请参阅 HSM 文档以获取支持的密码。(BZ#1550786)
samba rebase 到版本 4.8.3
samba 软件包已升级到上游版本 4.8.3,它提供很多程序错误修复和增强:
smbd
服务不再直接从 Active Directory 域控制器和 NT4 主域控制器查询用户和组信息。将security
参数设置为ads
或domain
的安装现在需要winbindd
服务正在运行。- 对
winbindd
进程中的可信域的全局列表的依赖关系已被减少。对于不需要全局列表的安装,请将/etc/samba/smb.conf
文件中的winbind 扫描可信域
参数设置为no
。如需更多信息,请参阅smb.conf (5)
手册页中的参数描述。 - wbinfo -m --verbose 命令的输出中显示的信任属性已被修改,以正确反映执行命令的系统状态。
- 当使用
idmap_rid
和idmap_autorid
ID 映射后端时,通过单向信任的用户进行身份验证现在可以正常工作。
当
smbd
、nmbd
或 winbind
守护进程启动时,Samba 会自动更新其 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
有关显著变化的更多信息,请在更新前阅读上游发行注记 :https://www.samba.org/samba/history/samba-4.8.0.html。(BZ#1558560)
目录服务器 rebase 到版本 1.3.8.4
389-ds-base 软件包已升级到上游版本 1.3.8.4,它提供很多程序错误修复和增强。如需显著变化的完整列表,请在更新前阅读上游发行注记:
证书系统 rebase 到版本 10.5.9
pki-core 软件包已升级到上游版本 10.5.9,它提供很多程序错误修复和增强。(BZ#1557569)
jss rebase 到版本 4.4.4
jss 软件包已升级到上游版本 4.4.4,它提供很多程序错误修复和增强。(BZ#1557575)
CRMFPopClient 实用程序支持没有密钥归档的 CRMF 请求
在这个版本中,用户可以使用 CRMFPopClient 实用程序时,在没有密钥归档选项的情况下创建证书请求格式(CRMF)请求。此功能提高了灵活性,因为不再需要密钥恢复授权(KRA)证书。在以前的版本中,如果用户没有将 -b transport_certificate_file 选项传递给 CRMFPopClient,则工具会自动使用存储在 transport.txt 文件中的 KRA 传输证书。在这个版本中,如果没有指定 -b transport_certificate_file,证书系统会在不使用密钥归档的情况下创建一个请求。(BZ#1585866)
当使用 ECC 证书设置 root CA 时,证书系统会自动应用 ECC 配置集
这个版本增强了证书系统,在使用
pkispawn
工具设置 ECC 配置集时,自动应用 ECC 配置文件。因此,管理员不再需要在设置根 CA 时为 ECC 证书设置配置集覆盖参数作为临时解决方案。
(BZ#1550742)
证书系统现在为服务器证书添加 SAN 扩展
有了这个更新,证书系统默认将主题备用名称(SAN)扩展添加到服务器证书中,并将其设置为证书的通用名称(CN)。(BZ#1562423)
JSS 添加了用于创建 X.509 证书的低级别 API 和 CRL
此增强添加了一个低级 API,可用于为 Java 安全服务(JSS)创建 X.509 证书和密钥撤销列表(CRL)。(BZ#1560682)
pcsc-lite-ccid
驱动程序现在支持新的智能卡读取器
在以前的版本中,
pcsc-lite-ccid
驱动程序不会检测某些智能卡读取器。此功能增强将这些读取器的 USB-ID 值添加到驱动程序中。因此,pcsc-lite-ccid
现在会在上述场景中检测智能卡读取器。
请注意,红帽没有测试添加了 USB-ID 的智能卡读取器。(BZ#1558258)
pam_pkcs11
模块现在支持证书链
这个版本增强了
pam_pkcs11
模块,以支持 X.509 (PKIX)证书链的公钥基础架构。这可启用更复杂的链处理,包括到叶证书的多个路径。因此,pam_pkcs11
现在会验证 PKIX 证书链。(BZ#1578029)
DNSSEC-keymgr
自动 DNSSEC 密钥滚动
这个更新引入了
dnssec-keymgr
,它是一个自动化 DNS 安全扩展(DNSSEC)密钥滚动的工具。DNSSEC-keymgr
启用了为安全区自动进行长期管理,因为其简单可配置策略。这样便可无缝地推出密钥,而不中断 DNS 服务。(BZ#1510008)
对于所选域,可以禁用 DNSSEC 验证
在以前的版本中,如果启用了 DNSSEC 验证且特定域失败,则无法访问该域中的主机。在这个版本中,如果验证因为配置不正确而失败,您可以为所选区配置 DNS 安全扩展(DNSSEC)验证。故障域中的主机地址解析为未签名,并可访问,而所有其他名称则验证为安全风险。(BZ#1452091)
IdM 客户端上的 SSSD
现在可以根据特定的 AD 站点或 AD DC 进行身份验证
现在,可以固定在与 Active Directory (AD)具有信任关系的域中的身份管理(IdM)客户端上运行的
系统安全服务守护进程
(SSSD),以针对配置的 AD 站点或一组配置的 AD 域控制器(DC)进行身份验证。
在以前的版本中,
SSSD
完全依赖于 libkrb5 执行的 DNS SRV 发现。但是,这不会考虑 AD 站点,因为 libkrb5 没有 AD 站点的概念。如果管理员希望固定 SSSD
以针对一组 AD DC 进行身份验证,它们必须在 /etc/krb5.conf
文件中设置正确的密钥分发中心(KDC),而这并不是提示的。
这个增强对于大型环境特别有用,后者对每个客户端上的
/etc/krb5.conf
文件单独修改是唯一可用的解决方案。(BZ#1416528)