支持控制台(Console)开发人员开始试用联系人

7.9. 身份管理

现在,当登记需要 challengePassword 时,certmonger 可以使用 AD 自动更新 SCEP 证书

在以前的版本中,certmonger 向活动目录(AD)网络设备注册服务(NDES)服务器发送的 SCEP 证书请求会包括最初获取证书的 challengePassword。但是,AD 会将 challengePassword 视为一次性密码(OTP)。因此,续订请求会被拒绝。

此更新将 challenge_password_otp 选项添加到 certmonger 。启用后,这个选项可防止 certmonger 发送带有 SCEP 续订请求的 OTP。管理员还必须将值为 1DisableRenewalSubjectNameMatch 条目添加到 AD 注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 子键。有了这个修改,AD 不再需要签名者证书和请求的证书标题名称匹配。因此,SCEP 证书续订成功。

要配置 certmonger 和 AD 服务器以便 SCEP 续订可以正常工作:

  1. 在 AD 服务器上打开 regedit
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 子键中,添加一个新的 32 位 REG_DWORD 条目 DisableRenewalSubjectNameMatch,并将其值设为 1

  3. 在运行 certmonger 的服务器上,打开 /etc/certmonger/certmonger.conf 文件,并添加以下部分: 

    [scep]
challenge_password_otp = yes

  4. 重启 certmonger: 

    # systemctl restart certmonger

(BZ#1577570)

当第二个 FreeRADIUS 服务器不可用时,FreeRADIUS 代理服务器不再停止工作

当 FreeRADIUS 服务器配置为代理服务器时,它会将请求消息转发给另一个 FreeRADIUS 服务器。在以前的版本中,如果这两个服务器之间的连接中断了,FreeRADIUS 代理服务器将停止工作。有了这个修复,在其他服务器可用时,FreeRADIUS 代理服务器现在可以重新建立连接。

(BZ#2030173)

使用 PBKDF2-hashed 密码以 FIPS 模式认证目录服务器现在可以如期工作

当目录服务器在联邦信息处理标准(FIPS)模式下运行时,K11_ExtractKeyValue() 函数不可用。因此,当启用了 FIPS 模式时,带有基于密码的密钥派生函数2(PBKDF2)哈希密码的用户向服务器进行身份验证。有了这个更新,目录服务器使用 PK11_Decrypt() 函数来获取密码哈希数据。因此,在 FIPS 模式下向目录服务器进行身份验证现在也适用于具有 PBKDF2-hash 密码的用户。

(BZ#2033398)

当 SSSD 缓存作为 SSSD 用户挂载到 tmpfs 中时,SSSD 的套接字激活成功

在以前的版本中,如果 SSSD 缓存挂载到 tmpfs 临时文件系统中,套接字激活会失败,因为 /var/lib/sss/db/config.ldb SSSD 配置文件不归 sssd 用户所有。在这个版本中,SSSD 以 sssd 用户身份创建 config.ldb 文件,套接字激活可以成功。如果您已将 /var/lib/sssd/db/ SSSD 缓存目录挂载到 tpmfs 中,则必须将其重新挂载为 sssd 用户,以便 SSSD 能够在该位置创建 config.ldb 文件。

警告

根据 在身份管理中调优性能 指南中的步骤,只在将 SSSD 缓存挂载到 tmpfs 中以获得更快性能时才执行以下步骤。在标准情况下,红帽建议在标准磁盘存储中使用 SSSD 缓存的默认位置。

流程

  1. 确认 /var/lib/sss/db 是一个挂载点: 

    # mount -t tmpfs | grep /var/lib/sss/db
tmpfs on /var/lib/sss/db type tmpfs (rw,relatime,rootcontext=system_u:object_r:sssd_var_lib_t:s0,seclabel,size=307200k,mode=700)

  2. 如果 /var/lib/ss/db 是有效的挂载点,请检查它是否归 root 用户所有: 

    # ls -l /var/lib/sss | grep db
drwx------. 2 *root root* 40 Jul 26 04:48 db

  3. 如果 db 目录是一个挂载点,且它归 root 用户所有,请将 uid=sssd,gid=sssd 添加到 /etc/fstab 文件中的对应条目中,以 SSSD 用户身份挂载它: 

    tmpfs /var/lib/sss/db/ tmpfs size=300M,mode=0700,*uid=sssd,gid=sssd*,rootcontext=system_u:object_r:sssd_var_lib_t:s0 0 0

  4. 重新挂载目录并重启 SSSD 服务: 

    # systemctl stop sssd
# umount /var/lib/sss/db
# mount /var/lib/sss/db
# systemctl start sssd

验证

  • 验证 /var/lib/ss/db 目录是否归 sssd 用户所有: 

    # ls -l /var/lib/sss | grep db
drwx------. 2 sssd sssd 160 Jul 26 05:00 db

(BZ#2108316)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.