7.11. 身份管理
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
HSM 支持作为技术预览提供
现在,在身份管理(IdM)中提供了硬件安全模块(HSM)支持作为技术预览。您可以将 IdM CA 和 KRA 的密钥对和证书存储在 HSM 上。这为私钥材料增加了物理安全性。
IdM 依赖于 HSM 的网络功能在机器之间共享密钥来创建副本。HSM 提供了额外的安全性,而不影响大多数 IPA 操作。当使用低级别工具时,证书和密钥会以不同的方式处理,但对大多数用户来说是无缝的。
不支持将现有 CA 或 KRA 迁移到基于 HSM 的设置。您需要使用 HSM 上的密钥重新安装 CA 或 KRA。
您需要以下内容:
- 支持的 HSM
- HSM PKCS modprobe 库
- 可用的插槽、令牌和令牌密码
要使用存储在 HSM 上的密钥安装 CA 或 KRA,您必须指定令牌名称和 PKCS modprobe 库的路径。例如:
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]
LMDB 数据库类型在 Directory 服务器中作为技术预览提供
Lightning Memory-Mapped 数据库(LMDB)在 Directory 服务器中作为不受支持的技术预览提供。
目前,您只能使用命令行迁移或安装具有 LMDB 的实例。
要将现有实例从 Berkeley Database (BDB)迁移到 LMDB,请使用 dsctl instance_name dblib bdb2mdb 命令将 nsslapd-backend-implement 参数值设置为 mdb。请注意,这个命令不会清理旧数据。您可以通过将 nsslapd-backend-implement 改回到 bdb 来恢复数据库类型。
- 重要的
- 在将现有实例从 BDB 迁移到 LMDB 之前,请备份您的数据库。如需了解更多详细信息,请参阅 备份目录服务器。
要创建带有 LMDB 的新实例,您可以使用以下方法之一:
-
在交互式安装程序中,在 Choose whether
mdb或 bdb is used 行中设置 mdb。如需了解更多详细信息,请参阅使用交互式安装程序创建实例。 -
在
.inf文件中,在 [slapd] 部分中设置db_lib = mdb。如需了解更多详细信息,请参阅为目录服务器实例安装创建.inf文件。
目录服务器在 cn=mdb,cn=config,cn=ldbm database,cn=plugins,cn=config 条目下存储 LMDB 设置,其中包含以下新配置参数:
nsslapd-mdb-max-size设置数据库最大大小(以字节为单位)。重要: 确保
nsslapd-mdb-max-size足够高以存储所有预期数据。但是,参数大小不能太大,从而影响性能,因为数据库文件是内存映射。-
nsslapd-mdb-max-readers设置可以同时打开的最大读取操作数。目录服务器自动进行此设置。 -
nsslapd-mdb-max-dbs设置指定数据库实例的最大数量,可包含在 memory-mapped 数据库文件中。
除了新的 LMDB 设置外,您仍然可以使用 nsslapd-db-home-directory 数据库配置参数。
如果是混合的实现,您可以在复制拓扑中有 BDB 和 LMDB 副本。
Jira:RHELDOCS-19061[1]
ACME 作为技术预览提供
自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。
在 RHEL 中,ACME 服务使用红帽认证系统(RHCS)PKI ACME 响应程序。RHCS ACME 子系统自动部署到 IdM 部署中的每个证书颁发机构(CA)服务器上,但只有管理员启用它之后,它才会为请求提供服务。RHCS 在发布 ACME 证书时使用 acmeIPAServerCert 配置文件。签发的证书的有效期为 90 天。启用或禁用 ACME 服务会影响整个 IdM 部署。
建议仅在所有服务器都运行 RHEL 8.4 或以上版本的 IdM 部署中启用 ACME。早期的 RHEL 版本不包括 ACME 服务,这可能会在混合版本部署中引起问题。例如,没有 ACME 的 CA 服务器可能会导致客户端连接失败,因为它使用不同的 DNS Subject Alternative Name(SAN)。
目前,RHCS 不会删除过期的证书。由于 ACME 证书在 90 天后过期,因此过期的证书可能会累积,这会影响性能。
要在整个 IdM 部署中启用 ACME,请使用
ipa-acme-manage enable命令:# ipa-acme-manage enable The ipa-acme-manage command was successful
要在整个 IdM 部署中禁用 ACME,请使用
ipa-acme-manage disable命令:# ipa-acme-manage disable The ipa-acme-manage command was successful
要检查是否安装了 ACME 服务,以及它是否启用或禁用了,请使用
ipa-acme-manage status命令:# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Bugzilla:2084181[1]
IdM-to-IdM 迁移作为技术预览提供
IdM-to-IdM 迁移作为技术预览在身份管理中。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-18408[1]
