4.14. 身份管理
Ansible-freeipa 现在可在带有所有依赖项的 AppStream 存储库中
以前,在 RHEL 8 中,安装 ansible-freeipa 软件包之前,您必须首先启用 Ansible 存储库并安装 ansible 软件包。在 RHEL 8.6 和 RHEL 9 中,您可以安装 ansible-freeipa ,而不需要任何初步步骤。安装 ansible-freeipa 会自动安装 ansible-core 软件包,它是 ansible 的一个更基本的版本,作为一个依赖项。ansible-freeipa 和 ansible-core 都在 rhel-9-for-x86_64-appstream-rpms 存储库中提供。
RHEL 8.6 和 RHEL 9 中的 ansible-freeipa 包含了所有在 RHEL 8 中包含的模块。
(JIRA:RHELPLAN-100359)
IdM 现在支持 automountlocation、automountmap 和 automountkey Ansible 模块
有了这个更新,ansible-freeipa 软件包会包含 ipaautomountlocation、ipaautomountmap 和 ipaautomountkey 模块。您可以使用这些模块为登录到 IdM 位置的 IdM 客户端配置自动挂载的目录。请注意,目前只支持直接映射。
(JIRA:RHELPLAN-79161)
shadow-utils 中提供了管理 subID 范围的支持
在以前的版本中,shadow-utils 配置来自 /etc/subuid 和 /etc/subgid 文件的 subID 范围。在这个版本中,/etc/nsswitch.conf 文件中提供了 subID 范围配置,方法是在 subid 字段中设置值。如需更多信息,请参阅 man subuid 和 man subgid。另外,通过此次更新,shadow-utils 插件的 SSSD 实施可用,它提供来自 IPA 服务器的 subID 范围。要使用此功能,请将 subid: sss 值添加到 /etc/nsswitch.conf 文件。此解决方案在容器化环境中可能很有用,以促进无根容器。
请注意,如果 /etc/nsswitch.conf 文件由 authselect 工具配置,您必须遵循 authselect 文档中介绍的步骤。否则,您可以手动修改 /etc/nsswitch.conf 文件。
(JIRA:RHELPLAN-103579)
传统的 RHEL ansible-freeipa 软件仓库的替代方案:Ansible Automation Hub
有了这个更新,您可以从 Ansible Automation Hub(AAH)下载 ansible-freeipa 模块,而不是从标准的 RHEL 存储库下载它们。通过使用 AAH,您可以从此存储库中 ansible-freeipa 模块的快速更新中受益。
在 AAH 中,ansible-freeipa 角色和模块以集合的形式发布。请注意,您需要 Ansible Automation Platform(AAP)订阅来访问 AAH 门户中的内容。您还需要 ansible 版本 2.9 或更高版本。
redhat.rhel_idm 集合与传统的 ansible-freeipa 软件包具有相同的内容。但是,集合形式使用完全限定的集合名称(FQCN),其中包含一个命名空间和集合名称。例如,redhat.rhel_idm.ipadnsconfig 模块对应于 RHEL 存储库提供的 ansible-freeipa 中的 ipadnsconfig 模块。命名空间和集合名称的组合可确保对象是唯一的,并可无冲突地共享。
(JIRA:RHELPLAN-103147)
Ansible-freeipa 模块现在可以在 IdM 客户端上远程执行
在以前的版本中,ansible-freeipa 模块只能在 IdM 服务器上执行。这要求您的 Ansible 管理员具有对 IdM 服务器的 SSH 访问权限,从而导致潜在的安全威胁。有了这个更新,您可以在 IdM 客户端的系统上远程执行 ansible-freeipa 模块。因此,您可以以一个更加安全的方法管理 IdM 配置和实体。
要在 IdM 客户端上执行 ansible-freeipa 模块,请选择以下选项之一:
-
对 IdM 客户端主机设置 playbook 的
hosts变量。 -
将
ipa_context: client行添加到使用ansible-freeipa模块的 playbook 任务中。
您还可将 ipa_context 变量设置为 IdM 服务器上的 client。但是,服务器上下文通常提供更好的性能。如果没有设置 ipa_context,ansible-freeipa 会检查其是否在服务器或客户端上运行,并相应地设置上下文。请注意,在 IdM 客户端主机上执行将 context 设为 server 的 ansible-freeipa 模块会导致 missing libraries 的错误。
(JIRA:RHELPLAN-103146)
ipadnsconfig 模块现在需要 action: member 来排除全局转发器
有了这个更新,使用 ansible-freeipa ipadnsconfig 模块在身份管理(IdM)中排除全局转发器除了需要state: absent 选项,还需要 action: member 选项。如果您在 playbook 中只使用 state: absent,而不使用 action: member,则 playbook 将失败。因此,要删除所有全局转发器,您必须在 playbook 中分别指定它们。相反,state: present 选项不需要 action: member。
身份管理现在默认支持带有 RSA 签名的 SHA384
有了这个更新,IdM 中的证书颁发机构(CA)支持带有 RSA 加密签名算法的 SHA-384。带有 RSA 的 SHA384 符合联邦信息处理标准(FIPS)。
SSSD 默认的 SSH 散列值现在与 OpenSSH 设置保持一致
ssh_hash_known_hosts 的默认值已更改为 false。它现在与 OpenSSH 设置保持一致,默认情况下不对主机名进行哈希处理。
但是,如果您需要继续哈希主机名,请将 ssh_hash_known_hosts = True 添加到 /etc/sssd/sssd.conf 配置文件的 [ssh] 部分。
samba rebase 到版本 4.15.5
samba 软件包升级至上游版本 4.15.5,它提供了对之前版本的程序错误修复和增强:
- Samba 工具中的选项已被重命名和删除,以获得一致的用户体验
- 现在默认启用服务器多通道支持。
-
仅被 Windows 技术预览使用的
SMB2_22、SMB2_24和SMB3_10dialects 已被删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具验证 /etc/samba/smb.conf 文件。
有关显著变化的更多信息,请在更新前阅读 上游发行注记。
目录服务器 rebase 到版本 1.4.3.28
389-ds-base 软件包已升级到上游版本 1.4.3,它提供了对于之前版本的很多程序错误修复和增强:
- 修复了副本中的潜在死锁。
-
当
dnaInterval设为0时,服务器不再意外终止。 - 改进了连接处理的性能。
-
改进了访问控制指令(ACI)中
targetfilter的性能。
目录服务器现在在 tmpfs 文件系统上存储数据库的内存映射文件
在目录服务器中,nsslapd-db-home-directory 参数定义数据库内存映射文件的位置。此增强将参数的默认值从 /var/lib/dirsrv/slapd-instance_name/db/ 改为 /dev/shm/。因此,在 tmpfs 文件系统上存储内部数据库,目录服务器的性能就会提高。
