10.12. 身份管理
openssh-ldap
已被弃用
在 Red Hat Enterprise Linux 8 中弃用 openssh-ldap
子软件包,并将在 RHEL 9 中删除。因为 openssh-ldap
子软件包没有被上游维护,红帽建议您使用 SSSD 和 sss_ssh_authorizedkeys
帮助程序,它们与其他 IdM 解决方案更好地集成且更安全。
默认情况下,SSSD ldap
和 ipa
供应商会读取用户对象的 sshPublicKey
LDAP 属性(如果可用)。请注意,您无法为 ad
provider 或 IdM 可信域使用默认的 SSSD 配置从 Active Directory(AD)检索 SSH 公钥,因为 AD 没有存储公钥的默认 LDAP 属性。
要允许 sss_ssh_authorizedkeys
帮助程序从 SSSD 获取密钥,在 sssd.conf
文件的 services
选项中添加 ssh
来启用 ssh
响应程序。详情请查看 sssd.conf(5)
手册页。
要允许 sshd
使用 sss_ssh_authorizedkeys,
,添加 AuthorizedKeysCommand/usr/bin/sss_ssh_authorizedkeys
和 AuthorizedKeysCommandUser nobody
选项到 /etc/ssh/sshd_config
文件,如 ss_ssh_authorizedkeys(1)
手册页所述。
已经删除了 DES 和 3DES 加密类型
由于安全考虑,自 RHEL 7 开始,数据加密标准(DES)算法已被弃用并默认禁用。通过最近重新构建 Kerberos 软件包,已从 RHEL 8 中删除了 single-DES(DES)和 triple-DES(3DES) 加密类型。
如果您已经将服务或用户配置为只使用 DES 或 3DES 加密,您可能会遇到服务中断,例如:
- Kerberos authentication 错误
-
unknown enctype
加密错误 -
带有 DES 加密数据库主密钥(
K/M
)的 KDC 无法启动
执行以下操作准备升级:
-
检查您的 KDC 是否使用 DES 或者 3DES 加密,并使用
krb5check
打开源 Python 脚本。请参阅 GitHub 上的 krb5check。 - 如果您要将 DES 或 3DES 加密用于任何 Kerberos 主体,请使用支持的加密类型重新加密,比如高级加密标准(AES)。有关重新打包的步骤,请参考 MIT Kerberos 文档中的 Retiring DES。
通过在升级前临时设置以下 Kerberos 选项,从 DES 和 3DES 测试测试:
-
在 KDC 上的
/var/kerberos/krb5kdc/kdc.conf
中设置support_enctypes
且不包含des
或des3
。 -
对于每个主机,在
/etc/krb5.conf
以及/etc/krb5.conf.d
中的任意文件,将allow_weak_crypto
设为false
。默认为 false。 -
对于每个主机,在
/etc/krb5.conf
以及/etc/krb5.conf.d
中的任何文件中,设置permitted_enctypes
、default_tgs_enctypes
和default_tkt_enctypes
,但不包括des
或des3
。
-
在 KDC 上的
- 如果您没有遇到上一步中测试 Kerberos 设置的服务中断,请删除并升级它们。升级到最新的 Kerberos 软件包后您不需要这些设置。
单独使用 ctdb
服务已弃用
从 RHEL 8.4 开始,建议客户仅在满足以下条件时使用 ctdb
集群 Samba 服务:
-
ctdb
服务通过资源代理ctdb
作为pacemaker
资源进行管理。 -
ctdb
服务使用包含由红帽 Gluster 存储产品提供的 GlusterFS 文件系统或 GFS2 文件系统的存储卷。
ctdb
服务的独立用例已被弃用,其不会包含在 Red Hat Enterprise Linux 的下一个主版本中。有关 Samba 支持政策的更多信息,请参阅 RHEL Resilient Storage - ctdb 常规政策的支持政策。
(BZ#1916296)
以 PDC 或 BDC 的形式运行 Samba 已被弃用
传统的域控制器模式使管理员能够作为类似 NT4 的主域控制器(PDC)和备份域控制器(BDC)运行 Samba。用于配置这些模式的代码和设置将在以后的 Samba 发行版本中删除。
只要 RHEL 8 中的 Samba 版本提供 PDC 和 BDC 模式,红帽就仅在带有支持 NT4 域的 Windows 版本的现有安装中支持这些模式。红帽建议不要设置新的 Samba NT4 域,因为 Microsoft 操作系统稍后于 Windows 7 和 Windows Server 2008 R2 不支持 NT4 域。
如果您使用 PDC 仅验证 Linux 用户,红帽建议迁移到 RHEL 订阅中包含的 Red Hat Identity Management(IdM)。但是,您无法将 Windows 系统加入到 IdM 域中。请注意,红帽继续支持在后台使用 PDC 功能 IdM。
红帽不支持将 Samba 作为 AD 域控制器(DC)运行。
通过 WinSync 与 IdM 间接集成的 AD 已被弃用
由于一些功能的限制,不会在 RHEL 8 中对 WinSync 进行积极的开发:
- WinSync 只支持一个活动目录(AD)域。
- 密码同步需要在 AD 域控制器上安装额外的软件。
对于具有更好的资源和安全分离的更健壮的解决方案,红帽建议对于与活动目录的间接集成使用 跨林信任 。请参阅 间接集成 文档。
(JIRA:RHELPLAN-100400)
libwbclient
的 SSSD 版本已被删除
libwbclient
软件包的 SSSD 实现在 RHEL 8.4 中已被弃用。因为无法与 Samba 的最新版本一起使用, libwbclient
的 SSSD 实现现已被删除。
SMB1 协议在 Samba 中已弃用
从 Samba 4.11 开始,不安全的服务器消息块版本 1 (SMB1)协议已弃用,并将在以后的发行版本中删除。
为提高安全性,在 Samba 服务器和客户端工具中默认禁用 SMB1。
(Jira:RHELDOCS-16612)
对 FreeRADIUS 的有限支持
在 RHEL 8 中,以下外部身份验证模块作为 FreeRADIUS 产品的一部分被弃用:
- MySQL、PostgreSQL、SQlite 和 unixODBC 数据库连接器
-
Perl
语言模块 - REST API 模块
PAM 身份验证模块以及其它作为基础软件包的一部分提供的身份验证模块不受影响。
您可以在社区支持的软件包中找到已弃用模块的替代品,例如在 Fedora 项目中。
另外,在以后的 RHEL 版本中,对 freeradius
软件包的支持范围将限制为以下用例:
-
将 FreeRADIUS 用作身份管理(IdM)的身份验证提供者,作为身份验证的后端源。身份验证通过
krb5
和 LDAP 身份验证软件包或作为主 FreeRADIUS 软件包中的 PAM 身份验证发生。 - 使用 FreeRADIUS ,通过 Python 3 身份验证软件包对 IdM 中的身份验证提供真相来源。
与这些弃用相反,红帽将通过 FreeRADIUS 增强对以下外部身份验证模块的支持:
-
基于
krb5
和 LDAP 的身份验证 -
Python 3
身份验证
这些集成选项的重点在于与红帽 IdM 的战略方向紧密一致。
(JIRA:RHELDOCS-17573)