10.13. 身份管理
openssh-ldap 已被弃用
在 Red Hat Enterprise Linux 8 中弃用 openssh-ldap 子软件包,并将在 RHEL 9 中删除。因为 openssh-ldap 子软件包没有被上游维护,红帽建议您使用 SSSD 和 sss_ssh_authorizedkeys 帮助程序,它们与其他 IdM 解决方案更好地集成且更安全。
默认情况下,SSSD ldap 和 ipa 供应商会读取用户对象的 sshPublicKey LDAP 属性(如果可用)。请注意,您无法为 ad provider 或 IdM 可信域使用默认的 SSSD 配置从 Active Directory(AD)检索 SSH 公钥,因为 AD 没有存储公钥的默认 LDAP 属性。
要允许 sss_ssh_authorizedkeys 帮助程序从 SSSD 获取密钥,在 sssd.conf 文件的 services 选项中添加 ssh 来启用 ssh 响应程序。详情请查看 sssd.conf(5) 手册页。
要允许 sshd 使用 sss_ssh_authorizedkeys,,添加 AuthorizedKeysCommand/usr/bin/sss_ssh_authorizedkeys 和 AuthorizedKeysCommandUser nobody 选项到 /etc/ssh/sshd_config 文件,如 ss_ssh_authorizedkeys(1) 手册页所述。
已经删除了 DES 和 3DES 加密类型
由于安全考虑,自 RHEL 7 开始,数据加密标准(DES)算法已被弃用并默认禁用。通过最近重新构建 Kerberos 软件包,已从 RHEL 8 中删除了 single-DES(DES)和 triple-DES(3DES) 加密类型。
如果您已经将服务或用户配置为只使用 DES 或 3DES 加密,您可能会遇到服务中断,例如:
- Kerberos authentication 错误
-
unknown enctype加密错误 -
带有 DES 加密数据库主密钥(
K/M)的 KDC 无法启动
执行以下操作准备升级:
-
检查您的 KDC 是否使用 DES 或者 3DES 加密,并使用
krb5check打开源 Python 脚本。请参阅 GitHub 上的 krb5check。 - 如果您要将 DES 或 3DES 加密用于任何 Kerberos 主体,请使用支持的加密类型重新加密,比如高级加密标准(AES)。有关重新打包的步骤,请参考 MIT Kerberos 文档中的 Retiring DES。
通过在升级前临时设置以下 Kerberos 选项,从 DES 和 3DES 测试测试:
-
在 KDC 上的
/var/kerberos/krb5kdc/kdc.conf中设置support_enctypes且不包含des或des3。 -
对于每个主机,在
/etc/krb5.conf以及/etc/krb5.conf.d中的任意文件,将allow_weak_crypto设为false。默认为 false。 -
对于每个主机,在
/etc/krb5.conf以及/etc/krb5.conf.d中的任何文件中,设置permitted_enctypes、default_tgs_enctypes和default_tkt_enctypes,但不包括des或des3。
-
在 KDC 上的
- 如果您没有遇到上一步中测试 Kerberos 设置的服务中断,请删除并升级它们。升级到最新的 Kerberos 软件包后您不需要这些设置。
libwbclient 的 SSSD 版本已被删除
libwbclient 软件包的 SSSD 实现在 RHEL 8.4 中已被弃用。因为无法与 Samba 的最新版本一起使用, libwbclient 的 SSSD 实现现已被删除。
单独使用 ctdb 服务已弃用
从 RHEL 8.4 开始,建议客户仅在满足以下条件时使用 ctdb 集群 Samba 服务:
-
ctdb服务通过资源代理ctdb作为pacemaker资源进行管理。 -
ctdb服务使用包含由红帽 Gluster 存储产品提供的 GlusterFS 文件系统或 GFS2 文件系统的存储卷。
ctdb 服务的独立用例已被弃用,其不会包含在 Red Hat Enterprise Linux 的下一个主版本中。有关 Samba 支持政策的更多信息,请参阅 RHEL Resilient Storage - ctdb 常规政策的支持政策。
Bugzilla:1916296
通过 WinSync 与 IdM 的间接 AD 集成已弃用
由于一些功能的限制,不会在 RHEL 8 中对 WinSync 进行积极的开发:
- WinSync 只支持一个活动目录(AD)域。
- 密码同步需要在 AD 域控制器上安装额外的软件。
对于具有更好的资源和安全分离的更健壮的解决方案,红帽建议对于与活动目录的间接集成使用 跨林信任 。请参阅 间接集成 文档。
Jira:RHELPLAN-100400
SSSD 隐式文件供应商域默认禁用
/etc/sssd/sssd.conf 配置文件中的 enable_files_domain 设置的默认值已从 true 改为 false。这意味着 SSSD 隐式 files 提供者域(从本地文件 /etc/passwd 和 /etc/group 检索用户和组信息)现在默认禁用。
默认的 glibc files 模块,而不是 SSSD,为本地用户提供服务。除非在 sssd.conf 文件中定义了域,否则 SSSD 不会自动启动。
SSSD files 提供者的实现仍可用于特定用例的显式配置,如本地用户的智能卡验证。
Jira:RHELPLAN-139456
以 PDC 或 BDC 的形式运行 Samba 已被弃用
传统的域控制器模式使管理员能够作为类似 NT4 的主域控制器(PDC)和备份域控制器(BDC)运行 Samba。用于配置这些模式的代码和设置将在以后的 Samba 发行版本中删除。
只要 RHEL 8 中的 Samba 版本提供 PDC 和 BDC 模式,红帽就仅在带有支持 NT4 域的 Windows 版本的现有安装中支持这些模式。红帽建议不要设置新的 Samba NT4 域,因为 Microsoft 操作系统稍后于 Windows 7 和 Windows Server 2008 R2 不支持 NT4 域。
如果您使用 PDC 仅验证 Linux 用户,红帽建议迁移到 RHEL 订阅中包含的 Red Hat Identity Management(IdM)。但是,您无法将 Windows 系统加入到 IdM 域中。请注意,红帽继续支持在后台使用 PDC 功能 IdM。
红帽不支持将 Samba 作为 AD 域控制器(DC)运行。
SMB1 协议在 Samba 中被弃用
从 Samba 4.11 开始,不安全的服务器消息块版本 1 (SMB1)协议被弃用,并将在以后的发行版本中删除。
为提高安全性,默认在 Samba 服务器和客户端工具中禁用 SMB1。
Jira:RHELDOCS-16612
对 FreeRADIUS 的有限支持
在 RHEL 8 中,以下外部身份验证模块作为 FreeRADIUS 产品的一部分被弃用:
- MySQL、PostgreSQL、SQlite 和 unixODBC 数据库连接器
-
Perl语言模块 - REST API 模块
PAM 身份验证模块以及其它作为基础软件包的一部分提供的身份验证模块不受影响。
您可以在社区支持的软件包中找到已弃用模块的替代品,例如在 Fedora 项目中。
另外,在以后的 RHEL 版本中,对 freeradius 软件包的支持范围将限制为以下用例:
-
将 FreeRADIUS 用作身份管理(IdM)的身份验证提供者,作为身份验证的后端源。身份验证通过
krb5和 LDAP 身份验证软件包或作为主 FreeRADIUS 软件包中的 PAM 身份验证发生。 - 使用 FreeRADIUS ,通过 Python 3 身份验证软件包为 IdM 中的身份验证提供真相来源。
与这些弃用相反,红帽将通过 FreeRADIUS 增强对以下外部身份验证模块的支持:
-
基于
krb5和 LDAP 的身份验证 -
Python 3身份验证
这些集成选项的重点在于与红帽 IdM 的战略方向紧密一致。
Jira:RHELDOCS-17573
