支持控制台(Console)开发人员开始试用联系人

4.15. 身份管理

SSSD 现在支持 SID 请求的内存缓存

有了这个增强,SSSD 现在支持 SID 请求的内存缓存,它们是按 SID 查询的 GID 和 UID ,反之亦然。内存缓存提高了性能,例如,当向或从 Samba 服务器拷贝大量文件时。

(JIRA:RHELPLAN-123369)

ipaservicedelegationtargetipaservicedelegationrule Ansible 模块现在可用

现在,您可以使用 ipaservicedelegationtargetipaservicedelegationrule ansible-freeipa 模块,将 web 控制台客户端配置为允许使用智能卡验证的 Identity Management (IdM)用户来执行以下操作:

  • 在运行 web 控制台服务的 RHEL 主机上使用 sudo,而无需再次进行身份验证。
  • 使用 SSH 访问远程主机并访问主机上的服务,而无需再次进行身份验证。

ipaservicedelegationtargetipaservicedelegationrule 模块使用 Kerberos S4U2proxy 功能(也称为受限委托)。IdM 通常使用此功能来允许 Web 服务器框架为用户获取 LDAP 服务票据。IdM-AD 信任系统使用该功能获取 cifs 主体。

(JIRA:RHELPLAN-117109)

SSSD 支持 FAST 的匿名 PKINIT

在这个版本中,SSSD 支持通过 Secure Tunneling (FAST) (在 Active Directory 中称为 Kerberos armoring)实现灵活的身份验证。到目前为止,要使用 FAST,需要一个 Kerberos keytab 来请求所需的凭证。现在,您可以使用匿名 PKINIT 创建此凭据缓存来建立 FAST 会话。

要启用匿名 PKINIT,请执行以下步骤:

  1. sssd.conf 文件的 [domain] 部分中,将 krb5_fast_use_anonymous_pkinit 设置为 true
  2. 重启 SSSD。

  3. 在 IdM 环境中,您可以以 IdM 用户身份登录,验证使用匿名 PKINIT 来构建 FAST 会话。一个带有 FAST ticket 的缓存文件会被创建,Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS 表示使用了匿名 PKINIT: 

    klist /var/lib/sss/db/fast_ccache_IPA.VM
Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS
Valid starting Expires Service principal
03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM

(JIRA:RHELPLAN-123368)

IdM 现在支持随机序列号

在这个版本中,Identity Management (IdM) 包含 dogtagpki 11.2.0,它允许您使用 Random Serial Numbers 版本 3 (RSNv3)。在运行 ipa-server-installipa-ca-install 时,您可以使用 --random-serial-numbers 选项启用 RSNv3。启用 RSNv3 后,IdM 为 PKI 中的证书和请求生成完全随机的序列号,而不管理范围。使用 RSNv3,您可以避免在大型 IdM 安装中进行范围管理,并防止重新安装 IdM 时出现常见的冲突。

重要

RSNv3 仅支持新的 IdM 安装。如果启用,则需要在所有 PKI 服务上使用 RSNv3。

(BZ#747959)

IdM 现在支持在用户密码过期后对允许的 LDAP 绑定数量的限制

有了这个增强,当身份管理(IdM)用户的密码已过期时,您可以设置允许 LDAP 绑定的数量:

-1
在用户必须重置密码之前,IdM 授予用户无限的 LDAP 绑定。这是默认值,与之前的行为匹配。
0
一旦密码过期,这个值会禁用所有 LDAP 绑定。生效时,用户必须立即重置其密码。
1-MAXINT
输入的值可以完全允许许多绑定后过期。

该值可以在全局密码策略和组策略中设置。

请注意,计数为每个服务器存储。

要让用户重置自己的密码,他们需要与其当前到期的密码绑定。如果用户已耗尽所有部署后绑定,则必须管理重置密码。

(BZ#2091988)

新的 ipasmartcard_serveripasmartcard_client 角色

有了这个更新,ansible-freeipa 软件包提供了 Ansible 角色来配置身份管理(IdM)服务器和客户端,以进行智能卡验证。ipasmartcard_serveripasmartcard_client 角色替代了 ipa-advise 脚本来自动化和简化集成。与其它 ansible-freeipa 角色使用相同的清单和命名方案。

(BZ#2076567)

IdM 现在支持使用 Windows Server 2022 配置 AD Trust

有了这个增强,您可以在身份管理(IdM)域和使用运行 Windows Server 2022 的域控制器的活动目录林之间建立跨林信任。

(BZ#2122716)

ipa-dnskeysyncdipa-ods-exporter debug 消息默认不再记录到 /var/log/messages

在以前的版本中,ipa-dnskeysyncd(负责 LDAP-to-OpenDNSSEC 同步)和 ipa-ods-exporter(Identity Management (IdM) OpenDNSSEC exporter 服务)将所有 debug 信息默认记录到 /var/log/messages。因此,日志文件的显著增加。在这个版本中,您可以通过在 /etc/ipa/dns.conf 文件中设置 debug=True 来配置日志级别。如需更多信息,请参阅 IdM 配置文件的 default.conf (5) 手册页。

(BZ#2083218)

samba 更新到版本 4.16.1

samba 软件包升级至上游版本 4.16.1,它提供程序错误修复和增强:

  • 默认情况下,smbd 进程会根据需要自动启动新的 samba-dcerpcd 进程,来为分布式计算环境/远程过程调用(DCERPC)提供服务。请注意,Samba 4.16 及更高版本始终需要 samba-dcerpcd 来使用 DCERPC。如果您在 /etc/samba/smb.conf 文件中的 [global] 部分中禁用了 rpc start on require helpers 设置,则您必须创建一个 systemd 服务单元来在独立模式下运行 samba-dcerpcd

  • Cluster Trivial Database (CTDB) recovery master 角色已被重命名为 leader。因此,以下 ctdb 子命令被重命名为:

    • recmaster 变为 leader
    • setrecmasterrole 变为 setleaderrole
  • CTDB recovery lock 配置已被重命名为 cluster lock
  • CTDB 现在使用领导广播和关联的超时来确定是否需要选举。

请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1) 协议已被弃用,并将在以后的版本中删除。

在启动 Samba 前备份数据库文件。当 smbdnmbdwinbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。

更新 Samba 后,使用 testparm 工具验证 /etc/samba/smb.conf 文件。

有关显著变化的更多信息,请在更新前阅读 上游发行注记

(BZ#2077487)

SSSD 现在支持直接与 Windows Server 2022 集成

有了这个增强,您可以使用 SSSD 将 RHEL 系统直接与使用运行 Windows Server 2022 的域控制器的活动目录林集成。

(BZ#2070793)

改进了 SSSD 多线程性能

在以前的版本中,SSSD 从多线程应用程序(如 Red Hat Directory Server 和 Identity Management)序列化并行请求。在这个版本中修复了所有 SSSD 客户端库,如 nsspam,因此它们不会序列化请求,因此允许多个线程的请求并行执行以提高性能。要启用以前的序列化行为,请将环境变量 SSS_LOCKFREE 设置为 NO

(BZ#1978119)

目录服务器现在支持取消 Auto Membership 插件任务。

在以前的版本中,如果目录服务器有复杂的配置(大组、复杂规则以及与其他插件的交互),则 Auto Membership 插件任务可以在服务器上产生高 CPU 使用率。有了这个增强,您可以取消 Auto Membership 插件任务。因此,性能问题不会再发生。

(BZ#2052527)

目录服务器现在在使用 ldapdelete 时支持递归删除操作

在这个版本中,Directory 服务器支持 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 控制。因此,您可以使用 ldapdelete 程序以递归方式删除父条目的子条目。

(BZ#2057063)

现在,您可以在目录服务器安装过程中设置基本复制选项

有了这个增强,您可以使用 .inf 文件,在实例安装过程中配置基本复制选项,如身份验证凭证和更改日志修剪。

(BZ#2057066)

目录服务器现在支持非 root 用户创建的实例

在以前的版本中,非 root 用户不能创建目录服务器实例。有了这个增强,非 root 用户可以使用 dscreate ds-root 子命令配置一个环境,在此环境中,dscreatedsctldsconf 命令通常被用来创建和管理目录服务器实例。

(BZ#1872451)

pki 软件包重命名为 idm-pki

以下 pki 软件包现在被重命名为 idm-pki,以便更好地区分 IDM 软件包和 Red Hat 证书系统:

  • idm-pki-tools
  • idm-pki-acme
  • idm-pki-base
  • idm-pki-java
  • idm-pki-ca
  • idm-pki-kra
  • idm-pki-server
  • python3-idm-pki

(BZ#2139877)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.