6.11. 身份管理
IdM 部署中 TLS 的 DNS over TLS (DoT)作为技术预览提供
使用 DNS over TLS (DoT)的加密 DNS 在 Identity Management (IdM)部署中作为技术预览提供。现在,您可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。
要开始使用此功能,请为 IdM 服务器和副本安装 ipa-server-encrypted-dns
软件包,为 IdM 客户端安装 ipa-client-encrypted-dns
软件包。管理员可以使用-- dns-over-tls
选项在安装过程中启用 DoT。
IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能可以通过命令行界面(CLI)和 IdM 的非互动安装提供。
要配置 DoT,在为 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中添加了新的选项:
-
--dot-forwarder
指定启用了上游的 DoT 的 DNS 服务器。 -
--dns-over-tls-key
和--dns-over-tls-cert
来配置 DoT 证书。 -
--dns-policy
将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。
默认情况下,IdM 使用 relaxed
DNS 策略,该策略允许回退到未加密的 DNS。您可以使用新的 --dns-policy
选项和 enforced
设置来强制实施仅加密的通信。
您还可以通过将 ipa-dns-install
与新的 DoT 选项搭配使用,来在现有 IdM 部署中启用 DoT。
如需了解更多详细信息,请参阅 IdM 中使用 DoT 保护 DNS。
Jira:RHEL-67913[1], Jira:RHELDOCS-20059
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
Jira:RHELPLAN-121751[1]
ACME 作为技术预览提供
自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。
在 RHEL 中,ACME 服务使用红帽认证系统(RHCS)PKI ACME 响应程序。RHCS ACME 子系统自动部署到 IdM 部署中的每个证书颁发机构(CA)服务器上,但只有管理员启用它之后,它才会为请求提供服务。RHCS 在发布 ACME 证书时使用 acmeIPAServerCert
配置文件。签发的证书的有效期为 90 天。启用或禁用 ACME 服务会影响整个 IdM 部署。
建议仅在所有服务器都运行 RHEL 8.4 或以上版本的 IdM 部署中启用 ACME。早期的 RHEL 版本不包括 ACME 服务,这可能会在混合版本部署中引起问题。例如,没有 ACME 的 CA 服务器可能会导致客户端连接失败,因为它使用不同的 DNS Subject Alternative Name(SAN)。
目前,RHCS 不会删除过期的证书。由于 ACME 证书在 90 天后过期,因此过期的证书可能会累积,这会影响性能。
要在整个 IdM 部署中启用 ACME,请使用
ipa-acme-manage enable
命令:ipa-acme-manage enable
# ipa-acme-manage enable The ipa-acme-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要在整个 IdM 部署中禁用 ACME,请使用
ipa-acme-manage disable
命令:ipa-acme-manage disable
# ipa-acme-manage disable The ipa-acme-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要检查是否安装了 ACME 服务,以及它是否启用或禁用了,请使用
ipa-acme-manage status
命令:ipa-acme-manage status
# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Jira:RHELPLAN-121754[1]
IdM 到 IdM 迁移作为技术预览提供
IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate
命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到其他 IdM 服务器。这非常有用,例如,当将 IdM 从开发或暂存环境移到生产环境时,或者在两个生产服务器之间迁移 IdM 数据时。
Jira:RHELDOCS-18408[1]