4.15. 身份管理
SSSD 现在支持 SID 请求的内存缓存
有了这个增强,SSSD 现在支持 SID 请求的内存缓存,它们是按 SID 查询的 GID 和 UID ,反之亦然。内存缓存提高了性能,例如,当向或从 Samba 服务器拷贝大量文件时。
(JIRA:RHELPLAN-123369)
ipaservicedelegationtarget 和 ipaservicedelegationrule Ansible 模块现在可用
现在,您可以使用 ipaservicedelegationtarget 和 ipaservicedelegationrule ansible-freeipa 模块,将 web 控制台客户端配置为允许使用智能卡验证的 Identity Management (IdM)用户来执行以下操作:
-
在运行 web 控制台服务的 RHEL 主机上使用
sudo,而无需再次进行身份验证。 -
使用
SSH访问远程主机并访问主机上的服务,而无需再次进行身份验证。
ipaservicedelegationtarget 和 ipaservicedelegationrule 模块使用 Kerberos S4U2proxy 功能(也称为受限委托)。IdM 通常使用此功能来允许 Web 服务器框架为用户获取 LDAP 服务票据。IdM-AD 信任系统使用该功能获取 cifs 主体。
(JIRA:RHELPLAN-117109)
SSSD 支持 FAST 的匿名 PKINIT
在这个版本中,SSSD 支持通过 Secure Tunneling (FAST) (在 Active Directory 中称为 Kerberos armoring)实现灵活的身份验证。到目前为止,要使用 FAST,需要一个 Kerberos keytab 来请求所需的凭证。现在,您可以使用匿名 PKINIT 创建此凭据缓存来建立 FAST 会话。
要启用匿名 PKINIT,请执行以下步骤:
-
在
sssd.conf文件的[domain]部分中,将krb5_fast_use_anonymous_pkinit设置为true。 - 重启 SSSD。
在 IdM 环境中,您可以以 IdM 用户身份登录,验证使用匿名 PKINIT 来构建 FAST 会话。一个带有 FAST ticket 的缓存文件会被创建,
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS表示使用了匿名 PKINIT:klist /var/lib/sss/db/fast_ccache_IPA.VM Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS Valid starting Expires Service principal 03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM
(JIRA:RHELPLAN-123368)
IdM 现在支持随机序列号
在这个版本中,Identity Management (IdM) 包含 dogtagpki 11.2.0,它允许您使用 Random Serial Numbers 版本 3 (RSNv3)。在运行 ipa-server-install 或 ipa-ca-install 时,您可以使用 --random-serial-numbers 选项启用 RSNv3。启用 RSNv3 后,IdM 为 PKI 中的证书和请求生成完全随机的序列号,而不管理范围。使用 RSNv3,您可以避免在大型 IdM 安装中进行范围管理,并防止重新安装 IdM 时出现常见的冲突。
RSNv3 仅支持新的 IdM 安装。如果启用,则需要在所有 PKI 服务上使用 RSNv3。
IdM 现在支持在用户密码过期后对允许的 LDAP 绑定数量的限制
有了这个增强,当身份管理(IdM)用户的密码已过期时,您可以设置允许 LDAP 绑定的数量:
- -1
- 在用户必须重置密码之前,IdM 授予用户无限的 LDAP 绑定。这是默认值,与之前的行为匹配。
- 0
- 一旦密码过期,这个值会禁用所有 LDAP 绑定。生效时,用户必须立即重置其密码。
- 1-MAXINT
- 输入的值可以完全允许许多绑定后过期。
该值可以在全局密码策略和组策略中设置。
请注意,计数为每个服务器存储。
要让用户重置自己的密码,他们需要与其当前到期的密码绑定。如果用户已耗尽所有部署后绑定,则必须管理重置密码。
新的 ipasmartcard_server 和 ipasmartcard_client 角色
有了这个更新,ansible-freeipa 软件包提供了 Ansible 角色来配置身份管理(IdM)服务器和客户端,以进行智能卡验证。ipasmartcard_server 和 ipasmartcard_client 角色替代了 ipa-advise 脚本来自动化和简化集成。与其它 ansible-freeipa 角色使用相同的清单和命名方案。
IdM 现在支持使用 Windows Server 2022 配置 AD Trust
有了这个增强,您可以在身份管理(IdM)域和使用运行 Windows Server 2022 的域控制器的活动目录林之间建立跨林信任。
ipa-dnskeysyncd 和 ipa-ods-exporter debug 消息默认不再记录到 /var/log/messages
在以前的版本中,ipa-dnskeysyncd(负责 LDAP-to-OpenDNSSEC 同步)和 ipa-ods-exporter(Identity Management (IdM) OpenDNSSEC exporter 服务)将所有 debug 信息默认记录到 /var/log/messages。因此,日志文件的显著增加。在这个版本中,您可以通过在 /etc/ipa/dns.conf 文件中设置 debug=True 来配置日志级别。如需更多信息,请参阅 IdM 配置文件的 default.conf (5) 手册页。
samba 更新到版本 4.16.1
samba 软件包升级至上游版本 4.16.1,它提供程序错误修复和增强:
-
默认情况下,
smbd进程会根据需要自动启动新的samba-dcerpcd进程,来为分布式计算环境/远程过程调用(DCERPC)提供服务。请注意,Samba 4.16 及更高版本始终需要samba-dcerpcd来使用 DCERPC。如果您在/etc/samba/smb.conf文件中的[global]部分中禁用了rpc start on require helpers设置,则您必须创建一个systemd服务单元来在独立模式下运行samba-dcerpcd。 Cluster Trivial Database (CTDB)
recovery master角色已被重命名为leader。因此,以下ctdb子命令被重命名为:-
recmaster变为leader -
setrecmasterrole变为setleaderrole
-
-
CTDB
recovery lock配置已被重命名为cluster lock。 - CTDB 现在使用领导广播和关联的超时来确定是否需要选举。
请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1) 协议已被弃用,并将在以后的版本中删除。
在启动 Samba 前备份数据库文件。当 smbd、nmbd 或 winbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
更新 Samba 后,使用 testparm 工具验证 /etc/samba/smb.conf 文件。
有关显著变化的更多信息,请在更新前阅读 上游发行注记。
SSSD 现在支持直接与 Windows Server 2022 集成
有了这个增强,您可以使用 SSSD 将 RHEL 系统直接与使用运行 Windows Server 2022 的域控制器的活动目录林集成。
改进了 SSSD 多线程性能
在以前的版本中,SSSD 从多线程应用程序(如 Red Hat Directory Server 和 Identity Management)序列化并行请求。在这个版本中修复了所有 SSSD 客户端库,如 nss 和 pam,因此它们不会序列化请求,因此允许多个线程的请求并行执行以提高性能。要启用以前的序列化行为,请将环境变量 SSS_LOCKFREE 设置为 NO。
(BZ#1978119)
目录服务器现在支持取消 Auto Membership 插件任务。
在以前的版本中,如果目录服务器有复杂的配置(大组、复杂规则以及与其他插件的交互),则 Auto Membership 插件任务可以在服务器上产生高 CPU 使用率。有了这个增强,您可以取消 Auto Membership 插件任务。因此,性能问题不会再发生。
目录服务器现在在使用 ldapdelete 时支持递归删除操作
在这个版本中,Directory 服务器支持 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 控制。因此,您可以使用 ldapdelete 程序以递归方式删除父条目的子条目。
现在,您可以在目录服务器安装过程中设置基本复制选项
有了这个增强,您可以使用 .inf 文件,在实例安装过程中配置基本复制选项,如身份验证凭证和更改日志修剪。
目录服务器现在支持非 root 用户创建的实例
在以前的版本中,非 root 用户不能创建目录服务器实例。有了这个增强,非 root 用户可以使用 dscreate ds-root 子命令配置一个环境,在此环境中,dscreate,dsctl,dsconf 命令通常被用来创建和管理目录服务器实例。
pki 软件包重命名为 idm-pki
以下 pki 软件包现在被重命名为 idm-pki,以便更好地区分 IDM 软件包和 Red Hat 证书系统:
-
idm-pki-tools -
idm-pki-acme -
idm-pki-base -
idm-pki-java -
idm-pki-ca -
idm-pki-kra -
idm-pki-server -
python3-idm-pki
