4.12. 身份管理
SSSD 支持将主目录转换为小写
有了这个增强,您现在可以配置 SSSD ,来将用户主目录转换为小写。这有助于与 RHEL 环境的区分大小写的性质更好地集成。/etc/sssd/sssd.conf
文件的 [nss]
部分中的 override_homedir
选项现在可识别 %h
模板值。如果您使用 %h
作为 override_homedir
定义的一部分,SSSD 会用小写的用户主目录替换 %h
。
Jira:RHELPLAN-139430
ipapwpolicy
ansible-freeipa
模块现在支持新的密码策略选项
有了这个更新,ansible-freeipa
软件包中包含的 ipapwpolicy
模块支持额外的 libpwquality
库选项:
maxrepeat
- 指定序列中相同字符的最大数量。
maxsequence
- 指定单例字符序列的最大长度 (abcd)。
dictcheck
- 检查密码是否为字典单词。
usercheck
- 检查密码是否包含用户名。
如果设置了任何新密码策略选项,则密码的最小长度为 6 个字符。新密码策略设置仅应用到新密码。
在使用 RHEL 7 和 RHEL 8 服务器的混合环境中,新的密码策略设置仅在在 RHEL 8.4 及更新版本上运行的服务器中强制实施。如果用户登录到 IdM 客户端,并且 IdM 客户端与运行在 RHEL 8.3 或更早版本上的 IdM 服务器进行通信,则系统管理员设置的新密码策略要求不适用。为确保一致的行为,请将所有服务器升级到 RHEL 8.4 及更新的版本。
Jira:RHELPLAN-137416
IdM 现在支持 ipanetgroup
Ansible 管理模块
作为身份管理(IdM)系统管理员,您可以将 IdM 与 NIS 域和 netgroup 集成。使用 ipanetgroup
ansible-freeipa
模块,您可以实现以下内容:
- 您可以确保现有的 IdM netgroup 包含特定的 IdM 用户、组、主机和主机组以及嵌套的 IdM netgroup。
- 您可以确保现有 IdM netgroup 中没有特定的 IdM 用户、组、主机和主机组以及嵌套的 IdM netgroup。
- 您可以确保 IdM 中存在或不存在特定的 netgroup。
Jira:RHELPLAN-137411
新的 ipaclient_configure_dns_resolver
和 ipaclient_dns_servers
Ansible ipaclient
角色变量指定客户端的 DNS 解析器
在以前的版本中,当使用 ansible-freeipa
ipaclient
角色安装身份管理(IdM)客户端时,无法在安装过程中指定 DNS 解析器。您必须在安装前配置 DNS 解析器。
有了这个增强,在使用 ipaclient
角色使用 ipaclient_configure_dns_resolver
和 ipaclient_dns_servers
变量安装 IdM 客户端时,您可以指定 DNS 解析器。因此,ipaclient
角色会修改 resolv.conf
文件和 NetworkManager
和 systemd-resolved
工具,以便以类似于 ansible-freeipa
ipaserver
角色在 IdM 服务器上配置 DNS 解析器的方式,在客户端上配置 DNS 解析器。因此,在使用 ipaclient
角色安装 IdM 客户端时配置 DNS 现在更为高效。
使用 ipa-client-install
命令行安装程序安装 IdM 客户端仍然需要在安装前配置 DNS 解析器。
Jira:RHELPLAN-137406
使用 ipaclient
角色安装带有 OTP 的 IdM 客户端不需要之前修改 Ansible 控制器
在以前的版本中,Ansible 控制器上的 kinit
命令是获取身份管理(IdM)客户端部署的一次性密码(OTP)的先决条件。在 Red Hat Ansible Automation Platform (AAP)上获取 OTP 是一个问题,因为默认情况下没有安装 krb5-workstation
软件包。
有了这个更新,对管理员的 TGT 的请求被委派给第一个指定或发现的 IdM 服务器。现在,您可以使用 OTP 授权安装 IdM 客户端,而无需额外修改 Ansible 控制器。这简化了使用带有 AAP 的 ipaclient
角色。
Jira:RHELPLAN-137403
SSSD 现在支持使用 shadow
密码策略更改 LDAP 用户密码
有了这个增强,如果您在 /etc/sssd/sssd.conf
文件中将 ldap_pwd_policy
设为 shadow
,则 LDAP 用户现在可以更改存储在 LDAP 中的密码。在以前的版本中,如果 ldap_pwd_policy
设为 shadow
,则密码更改将被拒绝,因为不清楚是否正在更新相应的 shadow
LDAP 属性。
另外,如果 LDAP 服务器无法自动更新 shadow
属性,请在 /etc/sssd/sssd.conf
文件中将 ldap_chpass_update_last_change
选项设为 True
,以表明 SSSD 要更新属性。
Bugzilla:2144519
使用配置文件配置 pam_pwhistory
有了这个更新,您可以在 /etc/security/pwhistory.conf
配置文件中配置 pam_pwhistory
模块。pam_pwhistory
模块保存了每个用户的最后一个密码,以管理密码更改历史记录。authselect
中还添加了支持,允许您向 PAM 堆栈中添加 pam_pwhistory
模块。
Bugzilla:2068461,Bugzilla:2063379
getcert add-scep-ca
现在检查用户提供的 SCEP CA 证书是否采用有效的 PEM 格式
要使用 getcert add-scep-ca
命令将 SCEP CA 添加到 certmonger
,提供的证书必须采用有效的 PEM 格式。在以前的版本中,命令不检查用户提供的证书,并在格式不正确时不返回错误。有了这个更新,getcert add-scep-ca
现在检查用户提供的证书,并在证书不是有效 PEM 格式时返回错误。
IdM 现在支持新的活动目录证书映射模板
活动目录(AD)域管理员可以使用 altSecurityIdentities
属性手动将证书映射到 AD 中的用户。此属性支持六个值,虽然三个映射现在被视为不安全。作为 2022 年 5 月 10 日 安全更新 的一部分,当这个更新安装在域控制器上后,所有设备都处于兼容性模式。如果证书被弱映射到用户,则身份验证会如预期发生,但会记录一条警告信息,用于标识与完整执行模式不兼容的证书。从 2023 年 11 月 14 日起,所有设备都将更新为全强制模式,如果证书未通过强映射标准,则身份验证将被拒绝。
IdM 现在支持新的映射模板,使 AD 管理员更容易使用新规则,而不用维护两个模板。IdM 现在支持以下新的映射模板:
-
序列号:
LDAPU1: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})
-
主题 Key Id:
LDAPU1: (altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})
-
用户 SID:
LDAPU1: (objectsid={sid})
如果您不想使用新的 SID 扩展重新发布证书,您可以通过将适当的映射字符串添加到 AD 中的 altSecurityIdentities
属性来创建手动映射。
samba
rebase 到版本 4.17.5
samba
软件包已升级到上游版本 4.17.5,与之前的版本相比,它提供了 bug 修复和增强。最显著的更改:
- 之前版本中的安全性改进会影响服务器消息块(SMB)服务器对高元数据数据工作负载的性能。这个更新在这种情况下提高了性能。
-
--json
选项添加到smbstatus
工具中,以显示 JSON 格式的详细的状态信息。 -
samba.smb.conf
和samba.samba3.smb.conf
模块已添加到smbconf
Python API 中。您可以在 Python 程序中使用它们来原生读和(可选)写 Samba 配置。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1) 协议已被弃用,并将在以后的版本中删除。
在启动 Samba 前备份数据库文件。当 smbd
、nmbd
或 winbind
服务启动时,Samba 会自动更新其 tdb
数据库文件。红帽不支持降级 tdb
数据库文件。
更新 Samba 后,使用 testparm
工具来验证 /etc/samba/smb.conf
文件。
有关显著变化的更多信息,请在更新前阅读 上游发行注记。
ipa-client-install
现在支持使用 PKINIT 进行身份验证
在以前的版本中,ipa-client-install
仅支持基于密码的身份验证。这个更新支持使用 PKINIT 进行身份验证的 ipa-client-install
。
例如:
ipa-client-install --pkinit-identity=FILE:/path/to/cert.pem,/path/to/key.pem --pkinit-anchor=FILE:/path/to/cacerts.pem
要使用 PKINIT 身份验证,您必须在 IdM 和 PKINIT 证书的 CA 链之间建立信任。如需更多信息,请参阅 ipa-cacert-manage (1)
手册页。此外,证书身份映射规则必须将主机的 PKINIT 证书映射到有权限添加或修改主机记录的主体。如需更多信息,请参阅 ipa certmaprule-add
手册页。
目录服务器现在支持 TLS 的 ECDSA 私钥
在以前的版本中,您无法使用比 RSA 更强大的加密算法来保护目录服务器连接。有了这个增强,目录服务器现在同时支持 ECDSA 和 RSA 密钥。
新的 pamModuleIsThreadSafe
配置选项现在可用
当 PAM 模块是线程安全的时,您可以通过将新的 pamModuleIsThreadSafe
配置选项设置为 yes
来提高 PAM 身份验证吞吐量和特定模块的响应时间:
`pamModuleIsThreadSafe: yes`
此配置应用于 PAM 模块配置条目( cn=PAM Pass Through Auth,cn=plugins,cn=config
的子级)。
在 dse.ldif
配置文件或 ldapmodify
命令中使用 pamModuleIsThreadSafe
选项。请注意,ldapmodify
命令要求您重启服务器。
用于目录服务器审计日志的新的 nsslapd-auditlog-display-attrs
配置参数
在以前的版本中,区分名称(DN)是在审计日志事件中识别目标条目的唯一方法。使用新的 nsslapd-auditlog-display-attrs
参数,您可以将目录服务器配置为在审计日志中显示其它属性,提供有关修改的条目的更多详情。
例如,如果您将 nsslapd-auditlog-display-attrs
参数设置为 cn
,则审计日志会在输出中显示条目 cn
属性。要包含修改的条目的所有属性,请使用星号(*
)作为参数值。
如需更多信息,请参阅 nsslapd-auditlog-display-attrs。