4.11. 身份管理
身份管理用户现在可以使用外部身份提供方来验证到 IdM
有了此增强,您现在可以将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供方(IdP)关联。这些 IdP 的示例包括 Keycloak 的红帽构建、Microsoft Entra ID(以前的 Azure 活动目录)、GitHub 和 Google。
如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID,您可以使用它们,以使 IdM 用户可以在外部 IdP 进行身份验证。在外部 IdP 执行身份验证和授权后,IdM 用户会收到一个具有单点登录功能的 Kerberos 票据。用户必须使用 RHEL 8.7 或更高版本中提供的 SSSD 版本进行身份验证。
Jira:RHELPLAN-123140[1]
ipa rebase 到版本 4.9.13
ipa 软件包已从 4.9.12 版本更新至 4.9.13。主要变更包括:
- 现在,IdM 副本的安装针对所选服务器进行,不仅用于 Kerberos 身份验证,也用于所有 IPA API 和 CA 请求。
-
对于有大量证书的情况,
cert-find命令的性能已显著提高。 -
ansible-freeipa软件包已从版本 1.11 rebase 到 1.12.1。
如需更多信息,请参阅 上游发行注记。
删除过期的 KCM Kerberos 票据
在以前的版本中,如果您试图向 Kerberos 凭证管理器(KCM)添加新凭证,且您已达到存储空间限制,新凭证将被拒绝。用户存储空间受 max_uid_ccaches 配置选项的限制,该选项的默认值为 64。使用此更新,如果您已达到存储空间限制,您的最早过期的凭证被删除,新凭证被添加到 KCM 中。如果没有过期的凭证,操作失败并返回一个错误。要防止这个问题,您可以使用 kdestroy 命令删除凭证来释放一些空间。
支持本地用户的 bcrypt 密码哈希算法
使用此更新,您可以为本地用户启用 bcrypt 密码哈希算法。要切换到 bcrypt 哈希算法:
-
通过将
pam_unix.so sha512设置更改为pam_unix.so blowfish来编辑/etc/authselect/system-auth和/etc/authselect/password-auth文件。 应用更改:
# authselect apply-changes
-
使用
passwd命令更改用户的密码。 -
在
/etc/shadow文件中,验证哈希算法是否被设置为$2b$,表示bcrypt密码哈希算法现在被使用。
idp Ansible 模块允许将 IdM 用户与外部 IdP 关联
有了此更新,您可以使用 idp ansible-freeipa 模块将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供方(IdP)关联。如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID,则您可以使用它们为 IdM 用户启用 IdP 身份验证。
在外部 IdP 执行身份验证和授权后,IdM 用户会收到一个具有单点登录功能的 Kerberos 票据。用户必须使用 RHEL 8.7 或更高版本中提供的 SSSD 版本进行身份验证。
IdM 现在支持 idoverrideuser、idoverridegroup 和 idview Ansible 模块
有了此更新,ansible-freeipa 软件包包含以下模块:
idoverrideuser- 允许您为存储在身份管理(IdM) LDAP 服务器中的用户覆盖用户属性,例如,用户登录名称、主目录、证书或 SSH 密钥。
idoverridegroup- 允许您为存储在 IdM LDAP 服务器中的组覆盖属性,例如,组的名称、其 GID 或描述。
idview- 允许您组织用户和组 ID 覆盖,并将其应用到特定的 IdM 主机。
未来,您将能够使用这些模块使 AD 用户能够使用智能卡登录到 IdM。
ansible-freeipa 中启用了 DNS 区域管理的委托
现在,您可以使用 dnszone ansible-freeipa 模块来委托 DNS 区域管理。使用 dnszone 模块的 permission 或 managedby 变量来设置每区域访问委托权限。
ansible-freeipa ipauser 和 ipagroup 模块现在支持一个新的 renamed 状态
有了此更新,您可以使用 ansible-freeipa ipauser 模块中的 renamed 状态来更改现有 IdM 用户的用户名。您还可以在 ansible-freeipa ipagroup 模块中使用此状态来更改现有 IdM 组的组名称。
runasuser_group 参数现在在 ansible-freeipa ipasudorule 中提供
有了此更新,您可以使用 ansible-freeipa ipasudorule 模块为 sudo 规则设置 RunAs Users 的组。选项已在身份管理(IdM)命令行界面和 IdM Web UI 中提供。
389-ds-base rebase 到版本 1.4.3.39
389-ds-base 软件包已更新至版本 1.4.3.39。
HAProxy 协议现在支持 389-ds-base 软件包
在以前的版本中,目录服务器不会区分代理和非代理客户端之间的进入连接。有了此更新,您可以使用新的 nsslapd-haproxy-trusted-ip 多值配置属性来配置信任的代理服务器的列表。当在 cn=config 条目下配置了 nsslapd-haproxy-trusted-ip 时,目录服务器通过额外的 TCP 标头,使用 HAProxy 协议接收客户端 IP 地址,以便可以正确地评估访问控制指令(ACI),并可以记录客户端流量。
如果一个不信任的代理服务器发起了一个绑定请求,目录服务器会拒绝请求,并将以下信息记录到错误日志文件中:
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
samba rebase 到版本 4.19.4
samba 软件包已升级到上游版本 4.19.4,与之前的版本相比,它提供了 bug 修复和增强。最显著的更改有:
-
smbget工具中的命令行选项已被重命名并删除,以获得一致的用户体验。但是,这可能会破坏现有的脚本或使用该工具的作业。有关新选项的进一步详情,请查看smbget --help命令和smbget (1)手册页。 如果启用了
winbind debug traceid选项,则winbind服务现在额外记录以下字段:-
traceid:跟踪属于同一请求的记录。 -
depth:跟踪请求嵌套级别。
-
- Samba 不再使用自己的加密实现,现在完全使用 GnuTLS 库提供的加密功能。
-
directory name cache size选项被删除。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。
Jira:RHEL-16483[1]
