7.2. 认证和互操作性
容器化身份管理服务器作为技术预览
rhel7/ipa-server 容器镜像作为技术预览功能提供。请注意,rhel7/sssd 容器镜像现已获得全面支持。
详情请参阅使用容器化身份管理服务。
(BZ#1405325)
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未根据 Red Hat Enterprise Linux 网络指南中描述的命名实践配置的 DNS 区域可用性。
身份管理 JSON-RPC API 作为技术预览提供
一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。
在 RHEL 7.3 中,IdM API 被改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:
- 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
- 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。
在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。
有关使用 API 的详情,请查看相关的知识库文章。
将 IdM 设置为隐藏的副本现在作为技术预览提供
这个增强可让管理员将 Identity Management(IdM)副本设置为隐藏的副本。隐藏的副本是一个 IdM 服务器,它具有所有运行的服务并可用。但是,它不会公告给其他客户端或主控机,因为 DNS 中不存在服务的 SRV 记录,并且未启用 LDAP 服务器角色。因此,客户端无法使用服务发现来检测隐藏的副本。
隐藏副本主要针对可能会破坏客户端的专用服务设计。例如,IdM 的完整备份需要关闭 master 或副本中的所有 IdM 服务。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。其他用例包括 IdM API 或 LDAP 服务器上的高负载操作,如大量导入或广泛查询。
若要安装新的隐藏副本,请使用 ipa-replica-install --hidden-replica 命令。要更改现有副本的状态,请使用 ipa server-state 命令。
AD 和 LDAP sudo 供应商的使用
Active Directory(AD)提供程序是用于连接到 AD 服务器的后端。从 RHEL 7.2 开始,使用 AD sudo 供应商和 LDAP 提供程序可作为技术预览使用。要启用 AD sudo 提供程序,请在 sssd.conf 文件的 [domain] 部分中添加 sudo_provider=ad 设置。
Custodia secret 服务供应商作为技术预览提供
作为技术预览,您可以使用 Custodia,它是一个 secret 服务供应商。Custodia 可以存储或充当 secret(如密钥或密码)的代理。
详情请查看上游文档 http://custodia.readthedocs.io。
请注意,自 Red Hat Enterprise Linux 7.6 开始,Custodia 已被弃用。
