4.12. 身份管理


SSSD 支持将主目录转换为小写

有了这个增强,您现在可以配置 SSSD ,来将用户主目录转换为小写。这有助于与 RHEL 环境的区分大小写的性质更好地集成。/etc/sssd/sssd.conf 文件的 [nss] 部分中的 override_homedir 选项现在可识别 %h 模板值。如果您使用 %h 作为 override_homedir 定义的一部分,SSSD 会用小写的用户主目录替换 %h

Jira:RHELPLAN-139430

ipapwpolicy ansible-freeipa 模块现在支持新的密码策略选项

有了这个更新,ansible-freeipa 软件包中包含的 ipapwpolicy 模块支持额外的 libpwquality 库选项:

maxrepeat
指定序列中相同字符的最大数量。
maxsequence
指定单例字符序列的最大长度 (abcd)。
dictcheck
检查密码是否为字典单词。
usercheck
检查密码是否包含用户名。

如果设置了任何新密码策略选项,则密码的最小长度为 6 个字符。新密码策略设置仅应用到新密码。

在使用 RHEL 7 和 RHEL 8 服务器的混合环境中,新的密码策略设置仅在在 RHEL 8.4 及更新版本上运行的服务器中强制实施。如果用户登录到 IdM 客户端,并且 IdM 客户端与运行在 RHEL 8.3 或更早版本上的 IdM 服务器进行通信,则系统管理员设置的新密码策略要求不适用。为确保一致的行为,请将所有服务器升级到 RHEL 8.4 及更新的版本。

Jira:RHELPLAN-137416

IdM 现在支持 ipanetgroup Ansible 管理模块

作为身份管理(IdM)系统管理员,您可以将 IdM 与 NIS 域和 netgroup 集成。使用 ipanetgroup ansible-freeipa 模块,您可以实现以下内容:

  • 您可以确保现有的 IdM netgroup 包含特定的 IdM 用户、组、主机和主机组以及嵌套的 IdM netgroup。
  • 您可以确保现有 IdM netgroup 中没有特定的 IdM 用户、组、主机和主机组以及嵌套的 IdM netgroup。
  • 您可以确保 IdM 中存在或不存在特定的 netgroup。

Jira:RHELPLAN-137411

新的 ipaclient_configure_dns_resolveripaclient_dns_servers Ansible ipaclient 角色变量指定客户端的 DNS 解析器  

在以前的版本中,当使用 ansible-freeipa ipaclient 角色安装身份管理(IdM)客户端时,无法在安装过程中指定 DNS 解析器。您必须在安装前配置 DNS 解析器。   

有了这个增强,在使用 ipaclient 角色使用 ipaclient_configure_dns_resolveripaclient_dns_servers 变量安装 IdM 客户端时,您可以指定 DNS 解析器。因此,ipaclient 角色会修改 resolv.conf 文件和 NetworkManagersystemd-resolved 工具,以便以类似于 ansible-freeipa ipaserver 角色在 IdM 服务器上配置 DNS 解析器的方式,在客户端上配置 DNS 解析器。因此,在使用 ipaclient 角色安装 IdM 客户端时配置 DNS 现在更为高效。

注意

使用 ipa-client-install 命令行安装程序安装 IdM 客户端仍然需要在安装前配置 DNS 解析器。

Jira:RHELPLAN-137406

使用 ipaclient 角色安装带有 OTP 的 IdM 客户端不需要之前修改 Ansible 控制器

在以前的版本中,Ansible 控制器上的 kinit 命令是获取身份管理(IdM)客户端部署的一次性密码(OTP)的先决条件。在 Red Hat Ansible Automation Platform (AAP)上获取 OTP 是一个问题,因为默认情况下没有安装 krb5-workstation 软件包。

有了这个更新,对管理员的 TGT 的请求被委派给第一个指定或发现的 IdM 服务器。现在,您可以使用 OTP 授权安装 IdM 客户端,而无需额外修改 Ansible 控制器。这简化了使用带有 AAP 的 ipaclient 角色。

Jira:RHELPLAN-137403

SSSD 现在支持使用 shadow 密码策略更改 LDAP 用户密码

有了这个增强,如果您在 /etc/sssd/sssd.conf 文件中将 ldap_pwd_policy 设为 shadow,则 LDAP 用户现在可以更改存储在 LDAP 中的密码。在以前的版本中,如果 ldap_pwd_policy 设为 shadow,则密码更改将被拒绝,因为不清楚是否正在更新相应的 shadow LDAP 属性。

另外,如果 LDAP 服务器无法自动更新 shadow 属性,请在 /etc/sssd/sssd.conf 文件中将 ldap_chpass_update_last_change 选项设为 True,以表明 SSSD 要更新属性。

Bugzilla:2144519

使用配置文件配置 pam_pwhistory

有了这个更新,您可以在 /etc/security/pwhistory.conf 配置文件中配置 pam_pwhistory 模块。pam_pwhistory 模块保存了每个用户的最后一个密码,以管理密码更改历史记录。authselect 中还添加了支持,允许您向 PAM 堆栈中添加 pam_pwhistory 模块。

Bugzilla:2068461,Bugzilla:2063379

getcert add-scep-ca 现在检查用户提供的 SCEP CA 证书是否采用有效的 PEM 格式

要使用 getcert add-scep-ca 命令将 SCEP CA 添加到 certmonger,提供的证书必须采用有效的 PEM 格式。在以前的版本中,命令不检查用户提供的证书,并在格式不正确时不返回错误。有了这个更新,getcert add-scep-ca 现在检查用户提供的证书,并在证书不是有效 PEM 格式时返回错误。

Bugzilla:2150025

IdM 现在支持新的活动目录证书映射模板

活动目录(AD)域管理员可以使用 altSecurityIdentities 属性手动将证书映射到 AD 中的用户。此属性支持六个值,虽然三个映射现在被视为不安全。作为 2022 年 5 月 10 日 安全更新 的一部分,当这个更新安装在域控制器上后,所有设备都处于兼容性模式。如果证书被弱映射到用户,则身份验证会如预期发生,但会记录一条警告信息,用于标识与完整执行模式不兼容的证书。从 2023 年 11 月 14 日起,所有设备都将更新为全强制模式,如果证书未通过强映射标准,则身份验证将被拒绝。

IdM 现在支持新的映射模板,使 AD 管理员更容易使用新规则,而不用维护两个模板。IdM 现在支持以下新的映射模板:

  • 序列号:LDAPU1: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})
  • 主题 Key Id: LDAPU1: (altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})
  • 用户 SID:LDAPU1: (objectsid={sid})

如果您不想使用新的 SID 扩展重新发布证书,您可以通过将适当的映射字符串添加到 AD 中的 altSecurityIdentities 属性来创建手动映射。

Bugzilla:2087247

samba rebase 到版本 4.17.5

samba 软件包已升级到上游版本 4.17.5,与之前的版本相比,它提供了 bug 修复和增强。最显著的更改:

  • 之前版本中的安全性改进会影响服务器消息块(SMB)服务器对高元数据数据工作负载的性能。这个更新在这种情况下提高了性能。
  • --json 选项添加到 smbstatus 工具中,以显示 JSON 格式的详细的状态信息。
  • samba.smb.confsamba.samba3.smb.conf 模块已添加到 smbconf Python API 中。您可以在 Python 程序中使用它们来原生读和(可选)写 Samba 配置。

请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1) 协议已被弃用,并将在以后的版本中删除。

在启动 Samba 前备份数据库文件。当 smbdnmbdwinbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。

更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。

有关显著变化的更多信息,请在更新前阅读 上游发行注记

Bugzilla:2132051

ipa-client-install 现在支持使用 PKINIT 进行身份验证

在以前的版本中,ipa-client-install 仅支持基于密码的身份验证。这个更新支持使用 PKINIT 进行身份验证的 ipa-client-install

例如:

ipa-client-install --pkinit-identity=FILE:/path/to/cert.pem,/path/to/key.pem --pkinit-anchor=FILE:/path/to/cacerts.pem

要使用 PKINIT 身份验证,您必须在 IdM 和 PKINIT 证书的 CA 链之间建立信任。如需更多信息,请参阅 ipa-cacert-manage (1) 手册页。此外,证书身份映射规则必须将主机的 PKINIT 证书映射到有权限添加或修改主机记录的主体。如需更多信息,请参阅 ipa certmaprule-add 手册页。

Bugzilla:2075452

目录服务器现在支持 TLS 的 ECDSA 私钥

在以前的版本中,您无法使用比 RSA 更强大的加密算法来保护目录服务器连接。有了这个增强,目录服务器现在同时支持 ECDSA 和 RSA 密钥。

Bugzilla:2096795

新的 pamModuleIsThreadSafe 配置选项现在可用

当 PAM 模块是线程安全的时,您可以通过将新的 pamModuleIsThreadSafe 配置选项设置为 yes 来提高 PAM 身份验证吞吐量和特定模块的响应时间:

`pamModuleIsThreadSafe: yes`

此配置应用于 PAM 模块配置条目( cn=PAM Pass Through Auth,cn=plugins,cn=config的子级)。

dse.ldif 配置文件或 ldapmodify 命令中使用 pamModuleIsThreadSafe 选项。请注意,ldapmodify 命令要求您重启服务器。

Bugzilla:2142639

用于目录服务器审计日志的新的 nsslapd-auditlog-display-attrs 配置参数

在以前的版本中,区分名称(DN)是在审计日志事件中识别目标条目的唯一方法。使用新的 nsslapd-auditlog-display-attrs 参数,您可以将目录服务器配置为在审计日志中显示其它属性,提供有关修改的条目的更多详情。

例如,如果您将 nsslapd-auditlog-display-attrs 参数设置为 cn,则审计日志会在输出中显示条目 cn 属性。要包含修改的条目的所有属性,请使用星号(*)作为参数值。

如需更多信息,请参阅 nsslapd-auditlog-display-attrs

Bugzilla:2136610

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.