搜索

4.13. 身份管理

download PDF

ipa rebase 到版本 4.11

ipa 软件包已从版本 4.10 更新至 4.11。主要变更包括:

  • 支持基于 FIDO2 的 passkeys。
  • Kerberos 服务的基于资源的受限委托(RBCD)的初始实施。
  • ipalib.api 的上下文管理器,用于自动配置、连接和断开连接。
  • 现在,IdM 副本的安装针对所选服务器进行,不仅针对 Kerberos 身份验证,也只适用于所有 IPA API 和 CA 请求。
  • ansible-freeipa 软件包已从 1.11 版本 rebase 到 1.12.1。
  • ipa-healthcheck 软件包已从 0.12 版本 rebase 到 0.16。

如需更多信息,请参阅 上游发行注记

Jira:RHEL-11652

删除过期的 KCM Kerberos 票据

在以前的版本中,如果您试图向 Kerberos 凭证管理器(KCM)添加新凭证,且您已达到存储空间限制,新凭证将被拒绝。用户存储空间受 max_uid_ccaches 配置选项的限制,该选项的默认值为 64。在这个版本中,如果您已达到存储空间限制,您的最旧的过期凭证会被删除,并将新凭证添加到 KCM 中。如果没有过期的凭证,操作会失败并返回错误。要防止这个问题,您可以使用 kdestroy 命令删除凭证来释放一些空间。

Jira:SSSD-6216

IdM 现在支持 idoverrideuseridoverridegroupidview Ansible 模块

在这个版本中,ansible-freeipa 软件包包含以下模块:

idoverrideuser
允许您覆盖存储在身份管理(IdM) LDAP 服务器中的用户属性,例如用户登录名称、主目录、证书或 SSH 密钥。
idoverridegroup
允许您覆盖存储在 IdM LDAP 服务器中的组的属性,例如:组的名称、其 GID 或描述。
idview
允许您组织用户和组 ID 覆盖,并将其应用到特定的 IdM 主机。

未来,您将能够使用这些模块使 AD 用户使用智能卡登录到 IdM。

Jira:RHEL-16934

idp Ansible 模块允许将 IdM 用户与外部 IdP 关联

在这个版本中,您可以使用 idp ansible-freeipa 模块将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID,您可以使用它们为 IdM 用户启用 IdP 身份验证。 

在外部 IdP 执行身份验证和授权后,IdM 用户会收到具有单点登录功能的 Kerberos 票据。用户必须与 RHEL 8.7 或更高版本中提供的 SSSD 版本进行身份验证。

Jira:RHEL-16939

getcert add-ca 如果证书已存在或跟踪,则返回新的返回代码

在这个版本中,如果尝试添加或跟踪已存在的证书,getcert 命令会返回特定的返回代码 2。在以前的版本中,命令会在任何错误条件中返回返回码 1

Jira:RHEL-22302

现在 ansible-freeipa中启用了 DNS 区域管理的委派

现在,您可以使用 dnszone ansible-freeipa 模块委派 DNS 区域管理。使用 dnszone 模块的 permissionmanagedby 变量来配置每个区访问委托权限。

Jira:RHEL-19134

现在,对于 ns-slapd 进程,默认禁用透明巨页

当使用大型数据库缓存时,透明巨页(THP)可能会对目录服务器性能造成负面影响,例如高内存占用量、高 CPU 使用量和延迟激增。在这个版本中,在 /usr/lib/ systemd /system/ dirsrv @.service.d/custom.conf drop-in 配置文件中添加了一个新的 THP_DISABLE=1 配置选项,以便为 ns-slapd 进程禁用 THP。

另外,Directory 服务器健康检查工具现在检测到 THP 设置。如果您启用了 THP 系统范围以及 Directory Server 实例,健康检查工具会告知您启用的 THP,并打印有关如何禁用它们的建议。

Jira:RHEL-5142

samba rebase 到版本 4.19.4

samba 软件包已升级到上游版本 4.19.4,它提供程序错误修复和增强。最显著的更改有:

  • smbget 工具中的命令行选项已被重命名和删除,以获得一致的用户体验。但是,这可能会破坏使用 实用程序的现有脚本或作业。有关新选项的详情,请查看 smbget --help 命令和 smbget (1) 手册页。
  • 如果启用了 winbind debug traceid 选项,winbind 服务现在记录日志,另外,以下字段:

    • traceid :跟踪属于同一请求的记录。
    • 深度 :跟踪请求嵌套级别。
  • Samba 不再使用自己的加密实现,现在完全使用 GnuTLS 库提供的加密功能。
  • 目录名称缓存大小 选项已被删除。

请注意,从 Samba 4.11 开始,服务器消息块块版本 1 (SMB1)协议已被弃用,并将在以后的发行版本中删除。

在启动 Samba 前备份数据库文件。当 smbdnmbdwinbind 服务启动时,Samba 会自动更新其 tdb 数据库文件。红帽不支持降级 tdb 数据库文件。

更新 Samba 后,使用 testparm 工具来验证 /etc/samba/smb.conf 文件。

Jira:RHEL-16476

SSSD 中提供了一个新的免密码验证方法

在这个版本中,您可以在 SSSD 中启用和配置免密码身份验证,以使用与 FIDO2 规范兼容的 biometric 设备,如 YubiKey。您必须提前注册 FIDO2 令牌,并将此注册信息存储在 RHEL IdM、Active Directory 或 LDAP 存储的用户帐户中。RHEL 实现 FIDO2 与 libfido2 库的兼容性,该库目前仅支持基于 USB 的令牌。

Jira:RHELDOCS-17841[1]

IdM 支持选项来控制用于为 PAC 签名的加密类型

默认情况下,Kerberos 密钥分发中心(KDC)为 Privilege Attribute 证书(PAC)生成 AES HMAC-SHA2 签名。但是,活动目录(AD)不支持此加密类型。因此,AD 跨领域约束的委托请求无法被正确处理。

有了这个增强,您现在可以通过在 TGS 主体,krbtgt/[realm]@[realm] 上设置 pac_privsvr_entype 属性,来将用于为 PAC 签名的加密类型控制为目标域所需的加密类型。在 IdM 中,当 AD 信任存在时,会自动配置此字符串属性。

WARNING: This update is about standalone MIT realms. Do not change the Kerberos Distribution Center (KDC) configuration in RHEL Identity Management.

例如,对于 MIT 领域和 AD 领域,以确保跨域票据授予票据(TGT)使用 AD 兼容的加密类型,管理员必须配置跨领域 TGS 主体,如在 MIT 端如下所示。这会使使用 AES 256 HMAC-SHA1 加密类型和受限委托请求的跨领域 TGT 被正确处理。

kadmin.local <<EOF
setstr krbtgt/AD@IPA pac_privsvr_enctype aes256-cts-hmac-sha1-96
setstr krbtgt/IPA@AD pac_privsvr_enctype aes256-cts-hmac-sha1-96
EOF

Bugzilla:2060421

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.