4.13. 身份管理
ipa rebase 到版本 4.11
ipa 软件包已从版本 4.10 更新至 4.11。主要变更包括:
- 支持基于 FIDO2 的 passkeys。
- Kerberos 服务的基于资源的受限委托(RBCD)的初始实施。
-
ipalib.api的上下文管理器,用于自动配置、连接和断开连接。 - 现在,IdM 副本的安装针对所选服务器进行,不仅针对 Kerberos 身份验证,也只适用于所有 IPA API 和 CA 请求。
-
ansible-freeipa软件包已从 1.11 版本 rebase 到 1.12.1。 -
ipa-healthcheck软件包已从 0.12 版本 rebase 到 0.16。
如需更多信息,请参阅 上游发行注记。
删除过期的 KCM Kerberos 票据
在以前的版本中,如果您试图向 Kerberos 凭证管理器(KCM)添加新凭证,且您已达到存储空间限制,新凭证将被拒绝。用户存储空间受 max_uid_ccaches 配置选项的限制,该选项的默认值为 64。在这个版本中,如果您已达到存储空间限制,您的最旧的过期凭证会被删除,并将新凭证添加到 KCM 中。如果没有过期的凭证,操作会失败并返回错误。要防止这个问题,您可以使用 kdestroy 命令删除凭证来释放一些空间。
IdM 现在支持 idoverrideuser、idoverridegroup 和 idview Ansible 模块
在这个版本中,ansible-freeipa 软件包包含以下模块:
idoverrideuser- 允许您覆盖存储在身份管理(IdM) LDAP 服务器中的用户属性,例如用户登录名称、主目录、证书或 SSH 密钥。
idoverridegroup- 允许您覆盖存储在 IdM LDAP 服务器中的组的属性,例如:组的名称、其 GID 或描述。
idview- 允许您组织用户和组 ID 覆盖,并将其应用到特定的 IdM 主机。
未来,您将能够使用这些模块使 AD 用户使用智能卡登录到 IdM。
idp Ansible 模块允许将 IdM 用户与外部 IdP 关联
在这个版本中,您可以使用 idp ansible-freeipa 模块将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID,您可以使用它们为 IdM 用户启用 IdP 身份验证。
在外部 IdP 执行身份验证和授权后,IdM 用户会收到具有单点登录功能的 Kerberos 票据。用户必须与 RHEL 8.7 或更高版本中提供的 SSSD 版本进行身份验证。
getcert add-ca 如果证书已存在或跟踪,则返回新的返回代码
在这个版本中,如果尝试添加或跟踪已存在的证书,getcert 命令会返回特定的返回代码 2。在以前的版本中,命令会在任何错误条件中返回返回码 1。
现在 ansible-freeipa中启用了 DNS 区域管理的委派
现在,您可以使用 dnszone ansible-freeipa 模块委派 DNS 区域管理。使用 dnszone 模块的 permission 或 managedby 变量来配置每个区访问委托权限。
现在,对于 ns-slapd 进程,默认禁用透明巨页
当使用大型数据库缓存时,透明巨页(THP)可能会对目录服务器性能造成负面影响,例如高内存占用量、高 CPU 使用量和延迟激增。在这个版本中,在 /usr/lib/ drop-in 配置文件中添加了一个新的 systemd /system/ dirsrv @.service.d/custom.confTHP_DISABLE=1 配置选项,以便为 ns-slapd 进程禁用 THP。
另外,Directory 服务器健康检查工具现在检测到 THP 设置。如果您启用了 THP 系统范围以及 Directory Server 实例,健康检查工具会告知您启用的 THP,并打印有关如何禁用它们的建议。
samba rebase 到版本 4.19.4
samba 软件包已升级到上游版本 4.19.4,它提供程序错误修复和增强。最显著的更改有:
-
smbget工具中的命令行选项已被重命名和删除,以获得一致的用户体验。但是,这可能会破坏使用 实用程序的现有脚本或作业。有关新选项的详情,请查看smbget --help命令和smbget (1)手册页。 如果启用了
winbind debug traceid选项,winbind服务现在记录日志,另外,以下字段:-
traceid:跟踪属于同一请求的记录。 -
深度:跟踪请求嵌套级别。
-
- Samba 不再使用自己的加密实现,现在完全使用 GnuTLS 库提供的加密功能。
-
目录名称缓存大小选项已被删除。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。
SSSD 中提供了一个新的免密码验证方法
在这个版本中,您可以在 SSSD 中启用和配置免密码身份验证,以使用与 FIDO2 规范兼容的 biometric 设备,如 YubiKey。您必须提前注册 FIDO2 令牌,并将此注册信息存储在 RHEL IdM、Active Directory 或 LDAP 存储的用户帐户中。RHEL 实现 FIDO2 与 libfido2 库的兼容性,该库目前仅支持基于 USB 的令牌。
Jira:RHELDOCS-17841[1]
IdM 支持选项来控制用于为 PAC 签名的加密类型
默认情况下,Kerberos 密钥分发中心(KDC)为 Privilege Attribute 证书(PAC)生成 AES HMAC-SHA2 签名。但是,活动目录(AD)不支持此加密类型。因此,AD 跨领域约束的委托请求无法被正确处理。
有了这个增强,您现在可以通过在 TGS 主体,krbtgt/[realm]@[realm] 上设置 pac_privsvr_entype 属性,来将用于为 PAC 签名的加密类型控制为目标域所需的加密类型。在 IdM 中,当 AD 信任存在时,会自动配置此字符串属性。
WARNING: This update is about standalone MIT realms. Do not change the Kerberos Distribution Center (KDC) configuration in RHEL Identity Management.
例如,对于 MIT 领域和 AD 领域,以确保跨域票据授予票据(TGT)使用 AD 兼容的加密类型,管理员必须配置跨领域 TGS 主体,如在 MIT 端如下所示。这会使使用 AES 256 HMAC-SHA1 加密类型和受限委托请求的跨领域 TGT 被正确处理。
kadmin.local <<EOF setstr krbtgt/AD@IPA pac_privsvr_enctype aes256-cts-hmac-sha1-96 setstr krbtgt/IPA@AD pac_privsvr_enctype aes256-cts-hmac-sha1-96 EOF
