4.10. 身份管理
samba rebase 到版本 4.18.4
samba 软件包已升级到上游版本 4.18.4,与之前的版本相比,它提供了 bug 修复和增强。最显著的更改:
- 之前版本中的安全性改进影响了高元数据工作负载的服务器消息块(SMB)服务器的性能。在这种情况下,此更新提高了性能。
-
新的
wbinfo --change-secret-at=<domain_controller>命令强制对指定域控制器上信任帐户密码执行更改。 -
默认情况下,Samba 将访问控制列表(ACL)存储在文件的
security.NTACL扩展属性中。现在,您可以使用/etc/samba/smb.conf文件中的acl_xattr:<security_acl_name>设置自定义属性名称。请注意,自定义扩展属性名称不是作为security.NTACL的一个受保护的位置。因此,对服务器有本地访问权限的用户可以修改自定义属性的内容,并破坏 ACL。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。
ipa rebase 到版本 4.9.12
ipa 软件包已升级到版本 4.9.12 。如需更多信息,请参阅 上游 FreeIPA 发行注记。
现在,可以在单个 Ansible 任务中管理多个 IdM 组和服务
通过 ansible-freeipa 中的这一增强,您可以使用单个 Ansible 任务添加、修改和删除多个身份管理(IdM)用户组和服务。为此,请使用 ipagroup 和 ipaservice 模块的 groups 和 services 选项。
使用 ipagroup 中提供的 groups 选项,您可以指定仅应用到特定组的多个组变量。这个组由 name 变量定义,这是 groups 选项的唯一强制的变量。
同样,使用 ipaservice 中提供的 services 选项,您可以指定仅应用到特定服务的多个服务变量。此服务由 name 变量定义,这是 services 选项的唯一强制的变量。
Jira:RHELDOCS-16474[1]
ansible-freeipa ipaserver 角色现在支持随机序列号
有了此更新,您可以将 ipaserver_random_serial_numbers=true 选项与 ansible-freeipa ipaserver 角色一起使用。这样,您可以在使用 Ansible 安装身份管理(IdM)服务器时,为 PKI 中的证书和请求生成完全随机的序列号。使用 RSNv3,您可以避免大型 IdM 安装中的范围管理,并防止重新安装 IdM 时常见的冲突。
RSNv3 仅支持新的 IdM 安装。如果启用,则需要在所有 PKI 服务上使用 RSNv3。
Jira:RHELDOCS-16462[1]
ipaserver_remove_on_server 和 ipaserver_ignore_topology_disconnect 选项现在在 ipaserver 角色中提供
如果使用 ipaserver ansible-freeipa 角色的 remove_server_from_domain 选项从身份管理(IdM)拓扑中删除一个副本导致一个断开的拓扑,则必须指定您要保留域的哪一部分。具体来说,您必须执行以下操作:
-
指定
ipaserver_remove_on_server值,以识别您要保留拓扑哪个部分。 -
将
ipaserver_ignore_topology_disconnect设置为 True。
请注意,如果使用 remove_server_from_domain 选项从 IdM 中删除一个副本会保留一个连接的拓扑,则不需要这些选项的任何一个。
ipaclient 角色现在允许在 IdM 级别上配置用户 subID 范围
有了此更新,ipaclient 角色提供了 ipaclient_subid 选项,您可以使用它在身份管理(IdM)级别上配置 subID 范围。没有明确设置为 true 的新选项,ipaclient 角色会保持默认行为,并在没有为 IdM 用户配置 subID 范围的情况下安装客户端。
在以前的版本中,角色配置了 sssd authselect 配置文件,它会自定义 /etc/nsswitch.conf 文件。subID 数据库没有使用 IdM,只依赖于 /etc/subuid 和 /etc/subgid 的本地文件。
现在,您可以使用 ipacert Ansible 模块管理 IdM 证书
现在,您可以使用 ansible-freeipa ipacert 模块为身份管理(IdM)用户、主机和服务请求或检索 SSL 证书。然后,用户、主机和服务可以使用这些证书向 IdM 进行身份验证。您还可以撤销证书,以及恢复已搁置的证书。
MIT Kerberos 现在支持扩展的 KDC MS-PAC 签名
哟了此更新,红帽使用的 MIT Kerberos 实现了对 Microsoft 引入的两种 Privilege Attribute Certificate (PAC) 签名的支持,以响应最新的 CVE。具体来说,RHEL 8 中的 MIT Kerberos 支持 KB5020805 中发布的扩展 KDC 签名,并解决了 CVE-2022-37967。
请注意,由于 ABI 稳定性约束,RHEL8 上的 MIT Kerberos 无法支持其他 PAC 签名类型,即 KB4598347 中定义的 Ticket 签名。
要排除与此增强相关的问题,请查看以下知识库资源:
另请参阅 BZ#2211387 和 BZ#2176406。
RHEL 8.9 提供了 389-ds-base 1.4.3.37
RHEL 8.9 与 389-ds-base 软件包版本 1.4.3.37 一起分发。
新的 passwordAdminSkipInfoUpdate: on/off 配置选项现在可用
您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置,以对密码管理员执行的密码更新提供精细控制。当您启用此设置时,密码更新不会更新某些属性,例如 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset 和 passwordExpWarned。
