红帽全球峰会8.11. 身份管理
IdM 部署中的 DNS over TLS (DoT)作为技术预览提供
使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。
要开始使用此功能,请为 IdM 服务器和副本安装 ipa-server-encrypted-dns 软件包,为 IdM 客户端安装 ipa-client-encrypted-dns 软件包。管理员可以在安装过程中使用 --dns-over-tls 选项启用 DoT。
IdM 将 Unbound 配置为本地缓存解析器和 BIND 来接收 DoT 请求。这个功能通过命令行界面(CLI)和 IdM 的非互动安装提供。
要配置 DoT,在为 IdM 服务器、副本、客户端和集成的 DNS 服务的安装工具中添加了新的选项:
-
--dot-forwarder指定一个上游启用了 DoT 的 DNS 服务器。 -
--dns-over-tls-key和--dns-over-tls-cert来配置 DoT 证书。 -
--dns-policy将 DNS 安全策略设置为允许回退到未加密的 DNS 或强制实施严格的 DoT 使用。
默认情况下,IdM 使用 relaxed DNS 策略,该策略允许回退到未加密的 DNS。您可以在强制设置中使用 new- -dns-policy 选项强制加密通信。
您还可以通过使用 ipa-dns-install 和新的 DoT 选项重新配置集成的 DNS 服务,来在现有 IdM 部署上启用 DoT。
如需了解更多详细信息,请参阅 IdM 中使用 DoT 保护 DNS。
Jira:RHEL-67913[1], Jira:RHELDOCS-20059
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
Jira:RHELPLAN-121751[1]
现在,IdM 的 ansible-freeipa 安装中提供了带有 DoT 的加密的 DNS 作为技术预览
现在,您可以使用 Ansible 来确保 DNS 客户端和身份管理(IdM) DNS 服务器之间的所有 DNS 查询和响应都已加密。从 RHEL 10 开始,使用 DNS 的加密 DNS (DoT)在 IdM 部署中作为技术预览提供。在 RHEL 10.1 中,功能在 freeipa.ansible_freeipa 集合中作为技术预览提供。
要使用 ansible-freeipa 在 IdM 部署过程中启用 DoT,请使用以下选项:
-
ipaserver_dns_over_tls,带有新服务器的freeipa.ansible_freeipa.ipaserver角色。 -
带有
freeipa.ansible_freeipa.ipareplica角色的ipareplica_dns_over_tls。 -
dot_forwarder指定启用了上游的 DoT 的 DNS 服务器。 -
dns_over_tls_key和dns_over_tls_cert来配置 DoT 证书。
另外,您可以将 dns_policy 变量设置为强制 DoT-only 通信,覆盖允许回退到未加密的 DNS 的默认行为。
Jira:RHELDOCS-20258[1]
ACME 作为技术预览提供
自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。
在 RHEL 中,ACME 服务使用红帽认证系统(RHCS)PKI ACME 响应程序。RHCS ACME 子系统自动部署到 IdM 部署中的每个证书颁发机构(CA)服务器上,但只有管理员启用它之后,它才会为请求提供服务。RHCS 在发布 ACME 证书时使用 acmeIPAServerCert 配置文件。签发的证书的有效期为 90 天。启用或禁用 ACME 服务会影响整个 IdM 部署。
建议仅在所有服务器都运行 RHEL 8.4 或以上版本的 IdM 部署中启用 ACME。早期的 RHEL 版本不包括 ACME 服务,这可能会在混合版本部署中引起问题。例如,没有 ACME 的 CA 服务器可能会导致客户端连接失败,因为它使用不同的 DNS Subject Alternative Name(SAN)。
目前,RHCS 不会删除过期的证书。由于 ACME 证书在 90 天后过期,因此过期的证书可能会累积,这会影响性能。
要在整个 IdM 部署中启用 ACME,请使用
ipa-acme-manage enable命令:ipa-acme-manage enable
# ipa-acme-manage enable The ipa-acme-manage command was successfulCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要在整个 IdM 部署中禁用 ACME,请使用
ipa-acme-manage disable命令:ipa-acme-manage disable
# ipa-acme-manage disable The ipa-acme-manage command was successfulCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要检查是否安装了 ACME 服务,以及它是否启用或禁用了,请使用
ipa-acme-manage status命令:ipa-acme-manage status
# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successfulCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Jira:RHELPLAN-121754[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}