4.13. Identity Management
IdM 现在支持新的密码策略选项
在这个版本中,身份管理(IdM)支持额外的 libpwquality 库选项:
--maxrepeat- 指定序列中相同字符的最大数量。
--maxsequence- 指定单例字符序列的最大长度 (abcd)。
--dictcheck- 检查密码是否为字典单词。
--usercheck- 检查密码是否包含用户名。
使用 ipa pwpolicy-mod 命令应用这些选项。例如,要将用户名检查应用到 managers 组中用户建议的所有新密码:
*$ ipa pwpolicy-mod --usercheck=True managers*
如果设置了任何新密码策略选项,则密码的最小长度为 6 个字符,无论 --minlength 选项的值为何。新密码策略设置仅应用到新密码。
在使用 RHEL 7 和 RHEL 8 服务器的混合环境中,新的密码策略设置仅在在 RHEL 8.4 及更新版本上运行的服务器中强制实施。如果用户登录到 IdM 客户端,并且 IdM 客户端在与运行在 RHEL 8.3 或更早版本上的 IdM 服务器通信,则系统管理员设置的新密码策略要求不会被应用。为确保一致的行为,请将所有服务器升级或更新至 RHEL 8.4 及更新的版本。
(JIRA:RHELPLAN-89566)
通过为每个请求添加唯一标识符标签改进了 SSSD 调试日志
因为 SSSD 会异步处理请求,因此不容易在后端日志中跟踪各个请求的日志条目,因为来自不同请求的消息被添加到同一个日志文件中。为了提高调试日志的可读性,现在在日志消息中添加了一个唯一请求标识符,形式为 RID#<integer> 。这可让您隔离属于单个请求的日志,您可以通过多个 SSSD 组件从头到尾跟踪跨日志文件的请求。
例如,SSSD 日志文件的以下示例输出显示了两个不同请求的唯一标识符 RID#3 和 RID#4:
(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_destructor] (0x0400): RID#3 Number of active DP request: 0 (2021-07-26 18:26:37): [be[testidm.com]] [dp_req_reply_std] (0x1000): RID#3 DP Request AccountDomain #3: Returning [Internal Error]: 3,1432158301,GetAccountDomain() not supported (2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 DP Request Account #4: REQ_TRACE: New request. sssd.nss CID #1 Flags [0x0001]. (2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 Number of active DP request: 1
(JIRA:RHELPLAN-92473)
IdM 现在支持 automember 和 server Ansible 模块
有了这个更新,ansible-freeipa 软件包包含 ipaautomember 和 ipaserver 模块:
-
使用
ipaautomember模块,您可以添加、删除和修改自动成员规则和条件。因此,满足条件的未来 IdM 用户和主机将自动分配给 IdM 组。 -
使用
ipaserver模块,您可以确保 IdM 拓扑中是否存在服务器的各种参数。您还可以确保一个副本是隐藏的或可见的。
(JIRA:RHELPLAN-96640)
IdM 性能基准
有了这个更新,已测试了具有 4 个 CPU 和 8GB RAM 的 RHEL 8.5 IdM 服务器可以同时成功注册 130 个 IdM 客户端。
(JIRA:RHELPLAN-97145)
改进了 SSSD Kerberos 缓存性能
系统安全服务守护进程(SSSD)Kerberos 缓存管理器(KCM)服务现在包含新的操作 KCM_GET_CRED_LIST。这个增强功能通过凭证缓存迭代时减少输入和输出操作数量来提高 KCM 性能。
SSSD 现在默认日志回溯追踪
有了这个增强,SSSD 现在在内存中缓冲区中存储详细的调试日志,并在发生故障时将它们附加到日志文件中。默认情况下,以下错误级别会触发回溯追踪:
- 级别 0:致命故障
- 第 1 级:关键故障
- 第 2 级:严重故障
您可以通过在 sssd.conf 配置文件的对应部分中设置 debug_level 选项来为每个 SSSD 进程修改此行为:
- 如果将调试级别设为 0,则只有级别 0 事件触发回溯追踪。
- 如果将调试级别设为 1,级别 0 和 1 将触发回溯追踪。
- 如果您将调试级别设为 2 或更高,则级别 0 到 2 的事件会触发回溯追踪。
您可以通过在 sssd.conf 的对应部分中将 debug_backtrace_enabled 选项设为 false 来禁用每个 SSSD 进程的此功能:
[sssd] debug_backtrace_enabled = true debug_level=0 ... [nss] debug_backtrace_enabled = false ... [domain/idm.example.com] debug_backtrace_enabled = true debug_level=2 ... ...
SSSD KCM 现在支持自动续订票授予票据
有了这个增强,您可以将系统安全服务守护进程(SSSD) Kerberos 缓存管理器(KCM)服务配置自动续订存储在身份管理(IdM)服务器上 KCM 凭证缓存中的票授予票据(TGT)。只有在达到一半的票据生命周期时才尝试续订。要使用自动续订,必须将 IdM 服务器上的密钥分发中心(KDC)配置为支持可续订的 Kerberos 票据。
您可以通过修改 /etc/sssd/sssd.conf 文件的 [kcm] 部分来启用 TGT 自动续订。例如,您可以将 SSSD 配置为每 60 分钟检查一次可续订的 KCM 存储的 TGT,并通过在文件中添加以下选项,来在票据生命周期达到一半时尝试自动续订:
[kcm] tgt_renewal = true krb5_renew_interval = 60m
另外,您可以将 SSSD 配置为从现有域为续订继承 krb5 选项:
[kcm] tgt_renewal = true tgt_renewal_inherit = domain-name
如需更多信息,请参阅 sssd-kcm 手册页 中的 Renewals 部分。
Samba rebase 到版本 4.14.4
The _samba_ packages have been upgraded to upstream version 4.14.4, which provides bug fixes and enhancements over the previous version:
- 在活动目录(AD)中发布打印机提高了可靠性,其他打印机功能已添加到 AD 中发布的信息中。另外,Samba 现在支持 ARM64 架构的 Windows 驱动程序。
-
ctdb isnotrecmaster命令已删除。或者使用ctdb pn或ctdb recmaster命令。 -
集群的普通数据库(CTDB)
ctdb natgw master和slave-only参数已重命名为ctdb natgw leader和follower-only。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动 Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具验证 /etc/samba/smb.conf 文件。
有关显著变化的更多信息,请在更新前阅读上游发行注记。
现在支持 dnaInterval 配置属性
有了这个更新,红帽目录服务器支持在 cn=<DNA_config_entry>,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config 条目中设置 Distributed Numeric Assignment(cri)插件的 dnaInterval 属性。DNA 插件为指定的属性生成唯一的值。在复制环境中,服务器可以共享相同的范围。为避免在不同服务器上重叠,您可以设置 dnaInterval 属性来跳过某些值。例如,如果间隔为 3,并且范围中的第一个数字是 1,该范围中使用的下一个数字为 4,然后是 7,然后是 10。
详情请查看 dnaInterval 参数描述。
目录服务器已 rebase 到版本 1.4.3.27
389-ds-base 软件包已升级到上游版本 1.4.3.27,与之前的版本相比,它提供了一些 bug 修复和增强。如需显著变化的完整列表,请在更新前阅读上游发行注记:
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-24.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-23.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-22.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-21.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-20.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-19.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-18.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-17.html
目录服务器现在支持临时密码
此增强功能使管理员能够在全局和本地密码策略中配置临时密码规则。借助这些规则,您可以配置,当管理员重置用户的密码时,密码是临时的,且仅在特定时间有效,并且仅对指定次数的尝试有效。另外,您可以配置在管理员更改密码时不会直接启动过期时间。因此,目录服务器仅允许用户在有限时间或尝试时使用临时密码进行身份验证。用户验证成功后,目录服务器仅允许此用户更改其密码。
(BZ#1626633)
IdM KDC 现在发出带有 PAC 信息的 Kerberos 票据以提高安全性
在这个版本中,为了提高安全性,RHEL 身份管理 (IdM) 现在在新部署中默认发出带有 Privilege Attribute 证书 (PAC) 信息的 Kerberos 票据。PAC 包含有关 Kerberos 主体的丰富信息,包括其安全标识符 (SID)、组成员资格和主目录信息。因此,Kerberos 票据不易受恶意服务器操作的影响。
默认情况下,Microsoft Active Directory (AD)使用的 SID 是从不重复使用的全局唯一标识符。SID 表达多个命名空间:每个域都有一个 SID,它是每个对象的 SID 中的前缀。
从 RHEL 8.5 开始,当您安装 IdM 服务器或副本时,安装脚本默认为用户和组生成 SID。这允许 IdM 使用 PAC 数据。如果您在 RHEL 8.5 之前安装了 IdM,且您尚未配置 AD 域的信任,您可能没有为 IdM 对象生成 SID。有关为您的 IdM 对象生成 SID 的更多信息,请参阅 IdM 中启用安全标识符 (SID)。
通过评估 Kerberos 票据中的 PAC 信息,您可以使用更详细的信息控制资源访问。例如,一个域中的 Administrator 帐户与任何其他域中的 Administrator 帐户具有不同的 SID。在对 AD 域的带有信任的 IdM 环境中,您可以根据全局唯一的 SID 设置访问控制,而不是在不同位置中重复的简单用户名或 UID,如每个 Linux root 帐户都有 UID 0。
(Jira:RHELPLAN-159143)
目录服务器提供监控设置,可防止由锁耗尽导致的数据库损坏
此更新向 cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config 条目添加 nsslapd-db-locks-monitoring-enable 参数。如果启用了,这是默认值,如果活跃的数据库锁比 nsslapd-db-locks-monitoring-threshold 中配置的百分比阈值高,则目录服务器会中止所有搜索。如果遇到问题,管理员可以在 cn=bdb,cn=config,cn=ldbm database,cn=plugins,cn=config 条目中的 nsslapd-db-locks 参数中增加数据库锁的数量。这可以防止数据崩溃。另外,管理员现在可以设置线程在检查之间休眠的时间间隔,以毫秒为单位。
详情请查看 红帽目录服务器配置、命令和文件参考 中的参数描述。
目录服务器可以从 retro changelog 数据库中排除属性和后缀
此增强向目录服务器添加了 nsslapd-exclude-attrs 和 nsslapd-exclude-suffix 参数。您可以在 cn=Retro Changelog Plugin,cn=plugins,cn=config中 条目中设置这些参数,以从 retro changelog 数据库排除某些属性或后缀。
目录服务器支持 entryUUID 属性
有了这个增强,目录服务器支持 entryUUID 属性与 RFC 4530 兼容。例如,有了对 entryUUID 的支持,从 OpenLDAP 的迁移更加容易。默认情况下,目录服务器仅将 entryUUID 属性添加到新条目。要手动将其添加到现有条目中,请使用 dsconf <instance_name> plugin entryuuid fixup。
(BZ#1944494)
添加了一条新消息,以帮助设置 nsSSLPersonalitySSL
在以前的版本中,如果 TLS 证书昵称与配置参数 nsSSLPersonalitySSL 的值不匹配,则多次发生 RHDS 实例无法启动。当客户从以前的实例复制 NSS DB 或导出证书的数据,但忘记相应地设置 nsSSLPersonalitySSL 值时,会发生这种不匹配,。有了这个更新,您可以看到会记录一条附加信息,它可以帮助用户正确设置 nsSSLPersonalitySSL。
