第 4 章 新功能
本章记录了红帽企业 Linux 7.7 中介绍的新功能和主要增强功能。
4.1. 认证和互操作性
SSSD 现在全面支持存储在 AD 中的 sudo 规则
系统安全服务守护进程 (SSSD) 现在完全支持存储在 Active Directory (AD) 中的 sudo 规则。此功能最初作为技术预览在 Red Hat Enterprise Linux 7.0 中引入。请注意,管理员必须更新 AD 模式,以支持 sudo 规则。
SSSD 不再使用 [nss]
部分中的 fallback_homedir
值作为 AD 域的回退
在 RHEL 7.7 之前,Active Directory(AD)供应商中的 SSSD fallback_homedir
参数没有默认值。如果没有设置 fallback_homedir
,则使用 SSSD 代替 /etc/sssd/sssd.conf
文件中的 [nss]
部分中的同一参数的值。为提高安全性,RHEL 7.7 中的 SSSD 引入了 fallback_homedir
的默认值。因此,SSSD 不再回退到 [nss]
部分中设置的值。如果要使用与 AD 域中 fallback_homedir
参数的默认值不同的值,您必须在域的部分中手动设置它。
(BZ#1740779)
目录服务器 rebase 到版本 1.3.9.1
389-ds-base
软件包已升级到上游版本 1.3.9.1,它提供很多程序错误修复和增强。
现在可以通过修改操作来调用 Directory Server Autoship 插件
此更新增强了目录服务器的 Auto Membership 插件,以用于修改操作。在以前的版本中,插件仅由 ADD
操作调用。当管理员更改用户条目并且更改会影响用户所属的 Auto Membership 组时,该用户不会从旧组中删除,仅添加到新组中。借助此更新提供的增强,用户现在可以配置 Directory 服务器在上述场景中将用户从旧组中删除。
要启用新行为,请将 cn=Auto Membership Plugin,cn=plugins,cn=config
条目中的 autoMemberProcessModifyOps
属性设置为 on
。
(BZ#1438144)
replicaLastUpdateStatusJSON
status 属性已添加到目录服务器中的复制协议中
在这个版本中,为 cn=< replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config
条目引入了 replicaLastUpdateStatusJSON
状态属性。replicaLastUpdateStatus
属性中显示的状态为 vague 和 unclear。new 属性提供明确的状态消息和结果代码,可以由支持 JSON 格式的其他应用解析。
IdM 现在提供了一个将 CA 提升到 CRL 生成 master 的工具
在这个版本中,管理员可以将现有身份管理(IdM)证书颁发机构(CA)提升到证书撤销列表(CRL)生成 master,或者从 CA 中删除此功能。在以前的版本中,需要多个手动步骤将 IdM CA 配置为 CRL 生成 master,这个过程容易出错。现在,管理员可以使用 ipa-crlgen-manage enable
和 ipa-crlgen-manage disable
命令在 IdM CA 上启用和禁用 CRL 生成。
IdM 添加了用于检测和删除孤立自动成员规则的命令
身份管理(IdM)中的自动成员规则可以引用 hostgroup 或已删除的组。在以前的版本中,ipa automember-rebuild
命令意外失败,很难诊断失败的原因。此增强将 ipa automember-find-orphans
添加到 IdM 中,以识别和删除此类孤立的自动成员规则。
IdM 现在支持证书的 SAN 扩展中的 IP 地址
在某些情况下,管理员需要在 Subject Alternative Name (SAN)扩展中使用 IP 地址发布证书。这个更新添加了这个功能。因此,如果地址在 IdM DNS 服务中管理并且与主题主机或服务主体相关联,管理员可以在 SAN 扩展中设置 IP 地址。
IdM 现在支持在服务器离线时续订过期的系统证书
在这个版本中,当 Identity Management (IdM)离线时,管理员可以续订过期的系统证书。当系统证书过期时,IdM 无法启动。新的 ipa-cert-fix
命令替换了用于手动设置日期的临时解决方案,以便继续续订过程。因此,在上述情景中,停机时间和支持成本降低。
PKI-core rebase 到版本 10.5.16
pki-core 软件包已升级到上游版本 10.5.16,它提供很多程序错误修复和增强。
证书系统现在可以为外部 CA 签名使用 SKI 扩展创建 CSR
在这个版本中,证书系统支持为外部证书颁发机构(CA)签名使用对象密钥标识符(SKI)扩展创建证书签名请求(CSR)。某些 CA 需要使用特定值或派生自 CA 公钥的扩展。现在,管理员可以使用传递给 pkispawn
工具的配置文件中的 pki_req_ski
参数来创建带有 SKI 扩展的 CSR。
(BZ#1491453)
卸载证书系统不再删除所有日志文件
在以前的版本中,当卸载子系统时,证书系统会删除所有对应的日志。在这个版本中,pkidestroy 工具不再删除日志。要在卸载子系统时删除日志,使用新的 --remove-logs 参数传递给 pkidestroy。另外,这个更新会将 --force 参数添加到 pkidestroy。在以前的版本中,一个不完整的安装会留下一些文件和目录,从而导致无法完全卸载证书系统实例。将 --force 传递到 pkidestroy,以彻底删除某一子系统以及实例的所有对应文件。
pkispawn
工具现在支持使用 CA、KRA 和 OCSP 安装过程中在 NSS 数据库中创建的密钥
在以前的版本中,在证书系统安装过程中,pkispawn 工具只支持创建新密钥并为系统证书导入现有密钥。有了这个增强,pkispawn 现在支持在证书颁发机构(CA)、密钥恢复授权机构(KRA)和在线证书状态协议(OCSP)安装过程中直接使用 NSS 数据库中生成的密钥。
现在,证书系统会在重新安装服务时保留以前安装的日志
在以前的版本中,当在具有现有证书系统日志目录结构的服务器上安装证书系统子系统时,pkispawn
工具会报告名称冲突错误。在这个版本中,证书系统会重复使用现有日志目录结构来保留以前安装的日志。
证书系统现在默认支持其他强大的密码
在这个版本中,以下附加密码与联邦信息处理标准(FIPS)兼容,在证书系统中默认启用:
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_GCM_SHA384
有关启用的密码的完整列表,请输入:
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
如果您将硬件安全模块(HSM)与证书系统搭配使用,请参阅 HSM 文档以获取支持的密码。
samba
软件包已更新到版本 4.9.1
samba
软件包已升级到上游版本 4.9.1,它提供很多程序错误修复和增强。最显著的变化包括:
-
Clustered Trivial Database (CTDB)配置已被完全更改。管理员现在必须以与 Samba 配置类似的格式在
/etc/ctdb/ctdb.conf
文件中为ctdb
服务和相应的实用程序指定参数。详情请查看ctdb.conf (5)
手册页。使用/usr/share/doc/ctdb/examples/config_migrate.sh
脚本来迁移当前的配置。 /etc/samba/smb.conf
文件中的以下参数默认值已更改,如下所示:-
映射只读
:no
-
存储 dos 属性
:yes
-
ea 支持
:是
-
full_audit:success
: Not set -
full_audit:failure
: Not set
-
-
添加了
net ads setpn
命令,以管理 Active Directory (AD)上的 Windows Service Principal Names (SPN)。这个命令提供与 Windows 上的setpn.exe
工具相同的基本功能。例如,管理员可以使用它来添加、删除和列出存储在 AD 计算机对象中的 Windows SPN。 -
net ads keytab add
命令不再尝试将传递给命令的服务类转换为 Windows SPN,然后添加到 AD 计算机对象中。默认情况下,命令现在仅更新 keytab 文件。添加了新的net ads add_update_ads
命令来保留之前的行为。但是,管理员应使用新的net ads setpn add
命令。
当"smbd"、"nmbd"或"winbind"守护进程启动时,Samba 会自动更新其 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
有关显著变化的更多信息,请在更新前阅读上游发行注记: https://www.samba.org/samba/history/samba-4.9.0.html