红帽全球峰会4.14. 身份管理
ipa-healthcheck 现在会发出与过期证书相关的警告
在这个版本中,ipa-healthcheck 工具评估用户提供的 HTTP、DS 和 PKINIT 证书以进行过期,并在过期日期前提供 28 天警告。这是为了防止证书过期,这可能会导致停机。
Jira:RHELDOCS-20303[1]
ansible-freeipa rebase 到 1.15.1
ansible-freeipa 软件包(提供管理 Red Hat Identity Management (IdM)环境的模块和角色)已从 1.13.2 升级到 1.15.1。更新包括以下功能增强:
-
ansible-freeipa的ansible-freeipa-collection子软件包现在与 Red Hat Ansible Automation Hub (RH AAH)提供的redhat.rhel_idm集合的命名空间和名称兼容。如果您已安装了 RPM 集合子软件包,您现在可以运行引用 AAH 角色和模块的 playbook。请注意,内部会使用 RPM 集合子软件包中的命名空间和名称。
Jira:RHELDOCS-21029[1]
IdM 现在支持最多 Linux 最大 UID 限制的 UID 用于旧的系统兼容性
在这个版本中,您可以使用用户和组 ID 最多 4294、967、293 或 2^32-1。这会使 IdM 的最大值与 Linux UID 限制一致,在标准 IdM 范围最多为 2,147,483,647 的个别情况下非常有用。具体来说,它启用了 IdM 部署以及需要完整 32 位 POSIX ID 空间的传统系统。
在标准部署中,IdM 为 subIDS 保留 2,147,483,648 - 4,294,836,223 范围。使用 2^31 到 2^32-1 UID 范围需要禁用 subID 功能,因此与现代 Linux 功能冲突。
启用 UID 最多 2^32-1:
禁用从属 ID 功能:
ipa config-mod --addattr ipaconfigstring=SubID:Disable
$ ipa config-mod --addattr ipaconfigstring=SubID:DisableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 删除任何现有从属 ID 范围:
ipa idrange-del <id_range>
$ ipa idrange-del <id_range>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 IdM 服务器上,确保正确删除内部 DNA 插件配置:
ipa-server-upgrade
# ipa-server-upgradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 添加一个覆盖 2^31 的新本地 ID 范围,到 2^32-1 空间。确保为此新范围定义了 RID 基础,以便 IdM 可以为用户和组正确生成 SID。
只有尚未分配子 ID 时,才能禁用从属 ID 功能。
Jira:RHEL-84277[1]
如果启用了 krbLastSuccessfulAuth,则 Healthcheck 会警告
如果同时验证大量用户,在 ipaConfigString 属性中启用 krbLastSuccessfulAuth 设置可能会导致性能问题。因此,它会被默认禁用。在这个版本中,如果启用了 krbLastSuccessfulAuth,Healthcheck 会显示一条消息,警告可能的性能问题。
IdM-to-IdM 迁移现在可用
IdM-to-IdM 迁移以前作为技术预览提供,现在完全支持。您可以使用 ipa-migrate 命令将所有特定于 IdM 的数据(如 SUDO 规则、HBAC、DNA 范围、主机、服务等)迁移到另一个 IdM 服务器。例如,当将 IdM 从开发或暂存环境移到生产环境中时,这很有用。
Jira:RHELDOCS-19500[1]
samba rebase 到版本 4.22.4
samba 软件包已更新至版本 4.22.4。此版本提供了 bug 修复和增强,最重要的是:
- Samba 支持服务器消息块版本 3 (SMB3)目录租期。在这个版本中,客户端可以缓存目录列表,这可减少网络流量并提高性能。
-
Samba 支持使用基于 TCP 的 LDAP 或 LDAPS 查询域控制器(DC)信息,作为端口 389 上的传统 UDP 方法的替代选择。此功能增强提高了与防火墙限制的环境的兼容性。您可以使用
客户端 netlogon ping protocol参数(默认值:CLADP)配置协议。 以下配置参数已被删除:
-
nmbd_proxy_logon: 此设置用于将 NetLogon 身份验证请求转发到 Windows NT4 主域控制器(PDC),然后 Samba 通过 TCP/IP (NBT)服务器引入了自己的 NetBIOS。 -
CLDAP
端口:无轻量级目录访问协议(CLDAP)始终使用 UDP 端口 389。另外,Samba 代码没有一致地使用这个参数,因此行为不一致。 -
fruit:posix_rename: 这个选项的vfs_fruit模块已被删除,因为它可能会导致 Windows 客户端出现问题。为了防止在网络挂载上创建.DS_Store文件,请在 MacOS 上使用默认值 write com.apple.desktopservices DSDontWriteNetworkStores true命令。
-
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。
在启动 Samba 前,备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。
389-ds-base rebase 到版本 2.7.0
389-ds-base 软件包已更新至版本 2.7.0。
dsctl healthcheck 现在会警告在 membership 属性上创建子字符串索引
包含 membership 属性的条目通常是一个具有多个成员的组。当更改值集合时,子字符串索引成本很高,即使对于像删除单个成员这样的小更改。现在,当添加子字符串索引类型时,dsctl healthcheck 会警告有关 membership 属性上子字符串索引成本过高,并显示以下出错消息:
DSMOLE0002.如果为 membership 属性配置了子字符串索引,则从大型组中删除一个成员可能会很慢。
Jira:RHEL-81141[1]
属性唯一插件中的自定义匹配规则用于搜索唯一属性
在这个版本中,在属性唯一配置中,您可以为您要强制唯一性的属性指定匹配的规则。例如,当您想从 大小写准确 或问题单中覆盖属性的语法时,会忽略。
在插件配置中指定属性及其匹配规则,如下所示:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
在此次更新之前,如果您使用带有 大小写准确 语法的属性 cn,则 Attribute Uniqueness 插件无法找到匹配的值,如果两者之间的两个值不同,则属性 Uniqueness 插件无法找到匹配的值。现在,您可以设置匹配的规则,并使其成为 case ignore,插件会看到值匹配:
uniqueness-attribute-name: cn:caseIgnoreMatch:
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109034[1]
cockpit-session-recording rebase 到 20-1.el9
cockpit-session-recording 软件包(记录通过 Cockpit Web 界面执行的用户会话)被 rebase 到上游版本 20-1.el9。软件包已迁移到 PatternFly 6 用户界面系统设计。
ACME 服务器添加了对 ES256 签名算法的支持
在以前的版本中,自动证书管理环境(ACME)服务器不支持 JSON Web 密钥(JWK)验证的 ES256 签名算法。缺少支持会阻止某些客户端(如 Caddy web 服务器)成功获取证书。
在这个版本中,ACAC 服务器已被改进,以支持 JWK 验证的 ES256 签名算法。
因此,服务器可以与使用 ES256 的客户端(如 Caddy Web 服务器)交互,使它们能够成功获取证书并建立安全 HTTPS 通信。
HSM 现在在 IdM 中被完全支持
硬件安全模块(HSM)现在在身份管理(IdM)中被完全支持。您可以在 HSM 上为 IdM 证书颁发机构(CA)和密钥恢复授权(KRA)存储密钥对和证书。这为私钥材料增加了物理安全。
IdM 依赖于 HSM 的网络功能,来在机器之间共享密钥来创建副本。HSM 提供了额外的安全性,而不会明显影响大多数 IdM 操作。当使用低级别工具时,证书和密钥会以不同的方式处理,但对大多数用户来说这是无缝的。
不支持将现有 CA 或 KRA 迁移到基于 HSM 的设置中。您需要在 HSM 上使用密钥重新安装 CA 或 KRA。
您需要以下内容:
- 支持的 HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 库。
- 一个可用的插槽、令牌和令牌密码。
要使用存储在 HSM 上的密钥安装 CA 或 KRA,您必须指定令牌名称和 PKCS #11 库的路径。例如:
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-21376[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}