第 38 章 认证和互操作性
使用 AD 和 LDAP sudo 供应商
Active Directory (AD)供应商是用于连接 AD 服务器的后端。从 Red Hat Enterprise Linux 7.2 开始,使用 AD sudo 供应商和 LDAP 提供程序作为技术预览提供。要启用 AD sudo 提供程序,请在
sssd.conf
文件的 [domain] 部分添加 sudo_provider=ad
设置。(BZ#1068725)
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
- DNSSEC 实践, 版本 2: http://tools.ietf.org/html/rfc6781#section-2
- 安全域名系统(DNS)部署指南: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC Key Rollover timinging Considerations: http://tools.ietf.org/html/rfc7583
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这会影响未根据 Red Hat Enterprise Linux 网络指南中描述的推荐命名实践配置的 DNS 区域可用性 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。(BZ#1115294)
身份管理 JSON-RPC API 作为技术预览
一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。
在 Red Hat Enterprise Linux 7.3 中,IdM API 被改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:
- 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
- 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。
在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。
有关使用 API 的详情,请参考 https://access.redhat.com/articles/2728021 (BZ39)1298286)
容器化身份管理服务器作为技术预览
rhel7/ipa-server
容器镜像作为技术预览提供。请注意,rhel7/sssd
容器镜像现已获得全面支持。
详情请查看 https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services。(BZ#1405325, BZ#1405326)
Custodia secret 服务供应商作为技术预览提供
作为技术预览,您可以使用 Custodia,它是一个 secret 服务供应商。Custodia 可以存储或充当 secret(如密钥或密码)的代理。
详情请查看上游文档 http://custodia.readthedocs.io。
请注意,自 Red Hat Enterprise Linux 7.6 开始,Custodia 已被弃用。(BZ#1403214)