Language:
Format:

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 5 章认证和互操作性

在很多区域中，服务器性能有所改进

身份管理中的一些操作现在可以更快地运行。例如，这个增强在大型部署中具有更好的可扩展性，超过 50,000 个用户和主机。最值得注意的是，改进包括：

更快地添加用户和主机
所有命令的 Kerberos 身份验证更快
更快地执行 ipa user-find 和 ipa host-find 命令

有关如何减少置备大量条目所需的时间的详情，请参考 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuning

请注意，为了更快地使 find 操作更快，ipa114-find 命令默认不再显示成员资格。要显示成员资格，请将 --all 选项添加到 ipa114-find 中，或者使用 ipa the-show 命令。(BZ#1298288, BZ#1271321, BZ#1268449, BZ#1346321)

增强的 IdM 拓扑管理

有关身份管理(IdM)拓扑的信息现在在共享树中的中央位置维护。现在，您可以使用命令行或 Web UI 从任何 IdM 服务器管理拓扑。

另外，一些拓扑管理操作已被简化，特别是：

拓扑命令已集成到 IdM 命令行界面中，以便您可以使用原生 IdM 命令行工具执行所有副本操作。
您可以在 Web UI 中或使用新的和简化的工作流来管理复制协议。
Web UI 包括 IdM 拓扑的图形，可帮助视觉化副本关系的当前状态。
IdM 包括安全措施，可防止您意外从拓扑中删除最后一个证书颁发机构(CA) master，或者将服务器与其他服务器隔离。
支持服务器角色，作为确定拓扑主机中的哪些服务器以及将这些服务安装到服务器的简单方法。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#managing-topology

请注意，新功能需要将域级别提升为 1。请参阅 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ39)1298848, BZ39）1199516）

简化副本安装

安装副本不再需要您登录到初始服务器，使用 Directory Manager (DM)凭证，并将副本信息文件从初始服务器复制到副本。例如，这允许使用外部基础架构管理系统更轻松地置备，同时保持合理的安全性级别。

另外，ipa-replica-install 工具现在可以将现有客户端提升到副本。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#install-replica

IdM 现在支持 AD 用户的智能卡验证

在这个版本中，在 Identity Management (IdM)中扩展了智能卡支持。来自可信 Active Directory (AD)的用户现在可以使用 ssh 和本地使用智能卡远程进行身份验证。本地身份验证支持以下方法：

文本控制台
图形控制台，如 Gnome 显示管理器(GDM)
本地身份验证服务，如 su 或 sudo

请注意，IdM 只支持上述本地身份验证服务和 ssh 进行智能卡验证。不支持其他服务，如 FTP。

AD 用户的智能卡证书可以直接存储在 AD 中，或者存储在 AD 用户的 IdM 覆盖对象中。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#smart-cards (BZ0471298966, BZ0471290378)

IdM 现在支持 TGS 授权决策

在身份管理(IdM)环境中，用户可以使用多因素身份验证（可选）登录。如果使用标准密码与一次性密码(OTP)结合使用，则来自票据的 Kerberos 票据授予服务器(TGS)现在包含一个指标。这可让管理员为资源设置服务器端策略，用户可以根据其登录类型访问。例如，管理员可以允许用户使用一或双因素身份验证登录桌面，但需要双因素身份验证进行虚拟专用网络(VPN)登录。

默认情况下，所有服务都接受所有票据。要激活此粒度，您必须在 IdM Web 用户界面中管理策略，或使用 ipa service ö 和 ipa hostbang 命令。(BZ#1224057, BZ#1340304, BZ#1292153)

`SSSD` 现在提供可选的双因素身份验证

系统安全服务守护进程(SSSD)现在允许启用了双因素身份验证的用户使用标准密码和一次性密码(OTP)或使用标准密码对服务进行身份验证。可选的双因素身份验证可让管理员使用单一因素配置本地登录，而其他服务（如访问 VPN 网关）则可以请求这两个因素。因此，在登录时，用户可以输入这两个因素，或者只输入密码（可选）。然后 Kerberos 票据使用身份验证指标来列出使用的因素。(BZ#1325809)

新的 SSSD 控制和状态工具

sssctl 工具提供了一种简单、统一的方法来获取有关系统安全服务守护进程(SSSD)状态的信息。例如，您可以查询有关活动服务器、自动发现的服务器、域和缓存对象的状态信息。另外，ssctl 工具可让您管理 SSSD 数据文件，以便在服务运行时以安全的方式对 SSSD 进行故障排除。

sssctl 支持的选项包括 client-data-backup 和 cache-remove 来备份和恢复 SSSD 缓存。在以前的版本中，当需要启动没有缓存数据的 SSSD 时，管理员必须手动删除缓存文件。

有关实用程序提供的功能的更多信息，请运行 sssctl --help。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/System-Level_Authentication_Guide/index.html#sssctl (BZ39) 879333）

SSSD 配置文件验证

在以前的版本中，系统安全服务守护进程(SSSD)不提供手动检查 /etc/sssd/sssd.conf 文件的工具。因此，如果服务无法启动，管理员必须在配置文件中找到问题。此更新提供了 sssctl 命令的 config-check 选项，以便在配置文件中查找问题。另外，SSSD 会在服务启动后自动检查配置文件的有效性，并显示 0 级调试信息进行不正确的设置。(BZ#988207, BZ#1072458)

pki cert-find 命令现在支持撤销字符串

pki cert-find 命令已被改进，现在支持以字符串格式的吊销原因。因此，您可以将字符串（如 Key_compromise ）传递给 --revocationReason 选项，而不是对应的数字值。有关支持的撤销字符串列表，请参阅

# pki cert-find --help

(BZ#1224365)

IdM 现在支持在服务器或副本安装过程中设置单独的目录服务器选项

改进了 Identity Management (IdM) ipa-server-install 和 ipa-replica-install 命令。新的 --dirsrv-config-file 参数可让管理员更改 IdM 安装过程中和之后使用的默认目录服务器设置。例如，要在上述情况下禁用安全 LDAP 绑定：

使用 LDIF 格式的设置创建文本文件：

dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off

通过将 --dirsrv-config-file 参数和文件传给安装脚本来启动 IdM 服务器安装：

# ipa-server-install --dirsrv-config-file filename.ldif

(BZ#825391)

IdM 现在启用 `admin` 组和 `ipaservers` 主机组

身份管理(IdM)现在引入了两个新组：

用户组 admins - 成员在 IdM 中具有完整的管理权限。
主机组 ipaservers - 此组中的主机可以被用户提升到副本，而无需完全管理权限。所有 IdM 服务器都是这个组的成员。(BZ#1211595)

IdM 现在支持 Web UI 中的 OTP 生成

现在，在 Web UI 中添加主机时，身份管理(IdM)支持一次性密码(OTP)生成。在 Add host 对话框中选择 Generate OTP 复选框。添加主机后，窗口会显示生成的 OTP。您可以使用此密码将主机加入到域中。此流程简化了流程，并提供强大的 OTP。要覆盖 OTP，请导航到主机的详情页面，单击 Action 并选择 Reset One-Time-Password。(BZ#1146860)

新的 sss_cache 选项将 sudo 规则标记为过期

这个版本增强了系统安全服务守护进程(SSSD)中的 sss_cache 命令。添加了选项 -r 和 -R，将一个或多个 sudo 规则标记为过期。这可让管理员在下一个 sudo 查找中强制刷新新规则。请注意，sudo 规则使用不同于用户和组实体的算法刷新。有关机制的更多信息，请参阅 sssd-sudo (5)手册页。(BZ#1031074)

新软件包： custodia， python-jwcrypto

在这个版本中，在 Red Hat Enterprise Linux 7 中添加了 custodia 软件包及其依赖项 python-jwcrypto。

custodia 是一个基于 HTTP 的管道，用于请求和分发 secret。它处理 secret 管理的身份验证、授权、请求处理和存储阶段。Custodia 目前只支持作为 Red Hat Identity Management 的内部子系统。

软件包 python-jwcrypto 是 Python 中的 JavaScript 对象签名和加密(JOSE) web 标准的实现。它作为 Custodia 的依赖项安装。(BZ#1206288)

新软件包： python-gssapi

在这个版本中，在 Red Hat Enterprise Linux 7 中添加 python-gssapi 软件包。它提供与 Python 2 和 3 兼容的通用安全服务 API (GSSAPI)。身份管理(IdM)使用软件包作为 python-krbV 和 python-pykerberos 的替代，它们只支持 Python 2 (BZ39) 92139）

新软件包： python-netifaces

在这个版本中，在 Red Hat Enterprise Linux 7 中添加 python-netifaces 软件包。通过这个 Python 模块，可以从操作系统中读取有关系统网络接口的信息。它已被添加为 Red Hat Identity Management (IdM)的依赖项。(BZ#1303046)

新软件包： mod_auth_openidc

在这个版本中，在 Red Hat Enterprise Linux 7 中添加 mod_auth_openidc 软件包。它可让 Apache HTTP 服务器作为单点登录(SSO)或 OAuth 2.0 资源服务器的 OpenID Connect Relying Party。Web 应用程序可以使用模块与各种 OpenID Connect 服务器实现交互，包括 Keycloak 开源项目和红帽单点登录(SSO)产品。(BZ#1292561)

IdM 现在支持 DNS 位置

在这个版本中，增加了对身份管理(IdM)集成 DNS 服务器的 DNS 位置管理的支持，以改进跨站点实现。在以前的版本中，使用 DNS 记录来查找 IdM 服务器的客户端无法将本地服务器与位于远程地理位置的服务器区分开。这个更新可让使用 DNS 发现的客户端查找最接近的服务器，并以优化的方式使用网络。因此，管理员可以管理 DNS 位置，并在 IdM Web 用户界面和命令行中为它们分配服务器。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#dns-locations (BZ747612)

IdM 现在支持建立对 AD 域的外部信任

Red Hat Enterprise Linux Identity Management (IdM)现在支持建立对林中的 Active Directory (AD)域的外部信任。外部信任是非转换的，可以建立到 AD 林中的任何域。这允许限制与特定域的可信关系，而不是信任整个 AD 林。(BZ#1314786)

IdM 现在支持使用替代 UPN 登录

在 Active Directory (AD)林中，可以将不同的用户主体名称(UPN)后缀与用户名而不是默认域名关联。身份管理(IdM)现在允许来自可信 AD 林的用户使用替代 UPN 登录。

另外，系统安全服务守护进程(SSSD)现在会检测 IdM 服务器是否支持替代 UPN。如果支持它们，SSSD 会在客户端上自动激活此功能。

当您在可信 AD 林中添加或删除 UPN 后缀时，在 IdM master 上运行 ipa trust-fetch-domains，以便在 IdM 数据库中刷新可信林的信息。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#UPN-in-a-trust (BZ39)1287194, BZ39）11631）

IdM 现在支持子 CA

在以前的版本中，身份管理(IdM)只支持一个证书颁发机构(CA)，用于签署 IdM 域中发布的所有证书。现在，您可以使用轻量级子 CA 来更好地控制证书可以使用的目的。例如，虚拟专用网络(VPN)服务器只能配置为仅接受为此创建的子 CA 发布的证书，拒绝其他子 CA 发布的证书，如智能卡 CA。

要支持此功能，您可以在请求带有 certmonger 的证书时指定 IdM 轻量级子 CA。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#lightweight-sub-cas (BZ0471200731, BZ0471345755)

SSSD 现在支持自动 Kerberos 主机 keytab 续订

在以前的版本中，系统安全服务守护进程(SSSD)不支持在活动目录(AD)中自动续订 Kerberos 主机 keytab 文件。因此，出于安全原因，不允许使用永不过期的密码，必须手动更新这些文件。在这个版本中，SSSD 可以自动更新 Kerberos 主机 keytab 文件。

如果机器帐户密码早于 /etc/sssd/sssd.conf 文件的 ad_maximum_machine_account_password_age 参数中配置的天数，SSSD 会每天检查一次。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html-single/System-Level_Authentication_Guide/index.html#sssd-auto-keytab-renewal (BZ0471310877)

IdM 支持用户主体别名

在以前的版本中，身份管理(IdM)只支持使用用户名的身份验证。但是，在某些情况下，需要使用电子邮件地址或别名名称进行身份验证。IdM 已改进，现在支持主体别名。系统安全服务守护进程(SSSD)也已更新，以支持此功能。

要将别名 ualias 和 user@example.com 添加到帐户用户，请运行以下命令：

# ipa user-add-principal user ualias user\\@example.com

在使用企业主体名称时，使用 kinit 命令的 -C 选项以及 -E 选项：

# kinit -C ualias
# kinit -E user@example.com

(BZ#1328552, BZ#1309745)

SSSD 缓存更新性能提高了

在以前的版本中，系统安全服务守护进程(SSSD)总会在缓存有效超时通过后更新所有缓存的条目。对于尚未更改的条目，这会在客户端和服务器上消耗不必要的资源。SSSD 已改进，现在检查缓存的条目是否需要更新。对于没有更改的条目，时间戳值会增加，并存储在新的 SSSD 数据库 /var/lib/sss/db/timestamps_$domain.ldb 中。此功能增强提高了服务器端很少更改的条目（如组）的性能。(BZ#1290380)

SSSD 现在支持存储在 IdM 模式中的 sudo 规则

在以前的版本中，系统安全服务守护进程(SSSD)使用由兼容插件生成的 ou=sudoers 容器来获取 sudo 规则。SSSD 已改进，以支持 cn=sudo 容器中存储在 Identity Management (IdM)目录架构中的 sudo 规则。

要启用此功能，请在 /etc/sssd/sssd.conf 文件中取消设置 ldap_sudo_search_base 参数。(BZ#789477)

SSSD 现在会在带有高 RID 号的环境中自动调整 AD 客户端的 ID 范围

系统安全服务守护进程(SSSD)服务中包含的自动 ID 映射机制现在可以合并 ID 范围域。SSSD 默认 ID 范围大小为 200,000。在大型 Active Directory (AD)安装中，如果 Active Directory 相对 ID (RID)增加了 200,000 以与 RID 对应，管理员必须手动调整 SSSD 分配的 ID 范围。

在这个版本中，对于启用了 ID 映射的 AD 客户端，SSSD 会在上述情况下自动调整 ID 范围。因此，管理员不必手动调整 ID 范围，默认的 ID 映射机制可在大型 AD 安装中工作。(BZ#1059972)

新的 sssctl 选项 remove-cache

在这个版本中，在 sssctl 工具中添加了 remove-cache 选项。选项删除本地系统安全服务守护进程(SSSD)数据库内容，然后重新启动 sssd 服务。这可让管理员使用 SSSD 从干净状态启动，并避免手动删除缓存文件。(BZ#1007969)

旧 IdM 客户端上的密码更改

在以前的版本中，Red Hat Enterprise Linux 包含一个 slapi-nis 版本，它不会允许用户在旧的身份管理(IdM)客户端中更改其密码。因此，通过 slapi-nis 兼容性树登录到客户端的用户只能使用 IdM Web UI 或直接在 Active Directory (AD)中更新其密码。现在，一个补丁已应用于，用户可以在旧的 IdM 客户端上更改其密码。(BZ#1084018)

ldapsearch 命令现在可以返回所有操作属性

LDAP 搜索现在可以返回所有操作属性，如 IETF RFC 3673 所述。在搜索中使用 + 字符将生成所有操作属性，其绑定可区分名称(DN)可以访问。返回的结果可能会根据适用的访问控制指令(ACI)来限制。

搜索示例可能类似如下：

ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com

有关这个功能的详情，请查看 https://tools.ietf.org/html/rfc3673。(BZ#1290111)

提高了日志时间戳的准确性

在这个版本中，Directory 服务器日志中的时间戳的准确性从一秒钟精度增加到纳秒精度。此功能增强允许对目录服务器中的事件进行更详细的分析，并允许外部日志系统正确重建并从 Directory Server 载入日志。

在以前的版本中，日志条目包含时间戳，如下例所示：

[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3

在这个版本中，同一日志条目包含更准确的时间戳：

[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3

要恢复到旧的时间戳格式，请在 cn=config 中将 nsslapd-logging-hr-timestamps-enabled 属性设置为 false。(BZ#1273549)

更改用户密码现在总是更新 `shadowLastChange` 属性

在以前的版本中，更改用户密码的一些方法可能会更新 passwordExpirationTime 属性，但不能更新 shadowLastChange 属性。有些可与 Directory 服务器（如 Active Directory ）接口的系统需要更新这两个属性，因此这种行为可能会导致同步错误。在这个版本中，对用户密码的任何更改都会更新属性，不再发生同步问题。(BZ#1018944)

`ns-slapd` 现在会在审计日志中记录失败的操作

在以前的版本中，ns-slapd 只记录对该目录成功的更改。在这个版本中，还添加了对日志记录失败的更改、其内容以及失败原因的支持。这样，可以更轻松地调试应用程序，无法更改目录内容以及检测可能的攻击。(BZ#1209094)

显示目录服务器实例状态的新实用程序

目录服务器现在提供 status-dirsrv 命令行工具，它输出一个或多个实例的状态。使用以下命令获取所有现有实例的列表：

status-dirsrv

若要显示特定实例的状态，请将实例名称附加到命令中。详情请查看 status-dirsrv (8) 手册页，以及返回码列表。(BZ#1209128)

IdM 现在支持最多 60 个副本

在以前的版本中，身份管理(IdM)支持每个 IdM 域最多 20 个副本。在这个版本中，每个 IdM 域的支持限制增加到 60 个副本。

有关详细的副本拓扑建议，请参阅 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/replica-considerations.html#replica-topology-recommendations (BZ39) 74524）

SSSD 现在从 `/etc/sssd/conf.d/`读取可选的 Tailoringconf 文件

系统安全服务守护进程(SSSD)已被改进，以便从 /etc/sssd/conf.d/ 目录中读取 192.168.1.0/24conf 文件。这可让您在所有客户端中使用常规 /etc/sssd/sssd.conf 文件，并在其他配置文件中添加其他设置以适应单个客户端。SSSD 首先读取常见的 /etc/sssd/sssd.conf 文件，然后按字母顺序读取 /etc/sssd/conf.d/ 中的其他文件。如果同一文件中出现多次，则守护进程使用最后一个读取配置参数。(BZ#790113)

在 schema 中启用引号的新选项

这个版本引入了 LDAP_SCHEMA_ALLOW_QUOTED 环境变量，它使用 schema 目录中的引号添加了对旧风格模式的支持。要启用此功能，请在 /etc/sysconfig/dirsrv-INSTANCE 配置文件中设置以下变量：

LDAP_SCHEMA_ALLOW_QUOTED=on

(BZ#1368484)

OpenLDAP 现在支持 SHA2 密码哈希

Red Hat Enterprise Linux 7.3 中的 OpenLDAP 服务器现在为 SHA2 支持提供了一个模块。要载入 pw-sha2 模块，请在 /etc/openldap/slapd.conf 文件中添加以下行：moduleload pw-sha2

因此，您可以使用以下哈希将密码存储在 OpenLDAP 中：

SSHA-512
SSHA-384
SSHA-256
SHA-512
SHA-384
SHA-256 (BZ#1292568)

pki cert-request-find 命令现在显示已完成的撤销请求的序列号

在这个版本中，pki 子命令 cert-request-find 会显示已撤销的证书 ID，用于已完成的撤销请求。(BZ#1224642)

IdM 密码策略现在启用永不过期的密码

在以前的版本中，需要身份管理(IdM)中的所有用户密码都定义过期日期。在这个版本中，管理员可以通过将密码策略 Max lifetime 值设置为 0 来无限期地将用户密码配置为无限期有效。

请注意，新密码策略设置仅适用于新密码。要使更改生效，现有用户必须更新其密码。(BZ#826790)

`ipa-getkeytab` 现在可以自动检测 IdM 服务器

在身份管理(IdM)服务器上运行 ipa-getkeytab 工具时，您不再需要使用 -s 选项指定服务器名称。ipa-getkeytab 工具在这种情况下自动检测 IdM 服务器。(BZ#768316)

ipa-replica-manage 工具中增强的子命令

ipa-replica-manage 工具已被改进，现在还支持以下子命令中的 o=ipaca 后端：

list-ruv
clean-ruv
abort-clean-ruv

此外，clean-dangling-ruv 子命令已添加到 ipa-replica-manage 工具中。这可让管理员自动删除危险的副本更新向量(RUV)。(BZ#1212713)

samba rebase 到版本 4.4.4

samba 软件包已升级到上游版本 4.4.4，它提供很多程序错误修复和增强：

WINS nsswitch 模块现在使用 libwbclient 库进行 WINS 查询。请注意，winbind 守护进程必须正在运行，才能解析使用该模块的 WINS 名称。
winbind 扩展组 选项的默认值已从 1 改为 0。
smbget 命令的 -u 和 -g 选项已被 -U 选项替代，以匹配其他 Samba 命令的参数。-U 选项接受 username[%password] 值。另外，smbgetrc 配置文件中的 username 和 password 参数已被 user 参数替代。
smbget 命令的 -P 参数已被删除。
现在，使用带有 Kerberos 凭证的 CUPS 后端进行打印需要安装 samba-krb5-printing 软件包并适当配置 CUPS。
现在，可以使用带有 Kerberos 凭证的 CUPS 后端将 Samba 配置为打印服务器。要做到这一点，安装 samba-krb5-printing 软件包并相应地配置 CUPS。
在安装 samba 时，Samba 和 ctdb 头文件不再会被自动安装。

当 smbd、nmbd 或 winbind 守护进程启动时，Samba 会自动更新其 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意，红帽不支持降级 tdb 数据库文件。

请注意，使用带有 SMB 协议 3.1.1 的 Linux 内核 CIFS 模块目前是实验性的，功能在红帽提供的内核中不可用。

有关显著变化的更多信息，请在更新前阅读上游发行注记：

新的 net ads join 选项以防止 AD DNS 更新

net ads join 命令现在提供 --no-dns-updates 选项，该选项可防止在将客户端加入到 Active Directory (AD)时使用机器名称更新 DNS 服务器。这个选项可让管理员在 DNS 服务器不允许客户端更新时绕过 DNS 注册，因此 DNS 更新会失败，并显示错误消息。(BZ#1263322)

设置 NetBIOS 名称的新 realm join 选项

realm join 命令现在提供 --computer-name 选项来设置单独的 NetBIOS 名称。这可让管理员使用与主机名不同的名称将机器加入到域中。(BZ#1293390)

DRMTool 重命名为 KRATool

证书系统(CS)的数据恢复管理器(DRM)组件现在被称为密钥恢复授权(KRA)。为了与这个更改保持一致，这个更新会将 DRMTool 工具重命名为 KRATool。请注意，为了简化转换，请提供兼容性符号链接。链接有助于确保引用 DRMTool 的脚本继续工作。(BZ#1305622)

对 OpenJDK 1.8.0 的明确依赖项

当前 PKI 代码被验证才能用于 OpenJDK 1.8.0。在以前的版本中，PKI 依赖于由 alternatives 提供的通用 java 链接，并假定链接指向 OpenJDK 1.8.0。由于其他设置可能会因为各种原因而改变，因此可能会导致 PKI 造成一些问题。

为确保 PKI 始终正常工作，PKI 已更改为更具体依赖于 jre_1.8.0_openjdk 链接，无论其它 Java 安装是什么，始终指向 OpenJDK 1.8.0 的最新更新。(BZ#1347466)

ipa114-find 命令不再显示成员条目

身份管理(IdM) ipa114-find 命令中的新默认设置不再显示成员条目，如主机组。解决大量成员条目是资源密集型的，命令的输出可能会得到长且不可读取。因此，默认值会被改变。要显示成员条目，请在 ipa114-find 命令中使用 --all 选项。例如：

# ipa hostgroup-find --all

(BZ#1354626)

证书系统现在支持为 CRL 设置开始 ID

Red Hat Certificate System 现在支持使用 /etc/pki/default.cfg 文件中的 pki_ca_starting_crl_number 选项为证书撤销列表(CRL)设置开始 ID。这可让管理员迁移已向证书系统发出 CRL 的证书颁发机构(CA)。(BZ#1358439)

新的 pki-server 子命令，将签发者 DN 添加到证书

证书服务器上的增强功能现在将签发者 DN 存储在新证书记录中，而 REST API 证书搜索支持根据签发者 DN 过滤证书。要将签发者 DN 添加到现有证书记录中，请运行：

# pki-server db-upgrade

(BZ#1305992)

证书系统现在删除旧的 CRL

在以前的版本中，如果在证书系统中启用了基于文件的证书撤销列表(CRL)发布功能，服务会定期创建新的 CRL 文件，而不删除旧文件。因此，运行证书系统的系统最终可能会耗尽空间。要解决这个问题，在 /etc/pki/pki-tomcat/ca/CS.cfg 文件中添加两个新配置选项：

maxAge - 设置文件过期和清除的天数。默认为 0 (never)。
MaxFullCRLs - 设置要保留的 CRL 的最大数量。发布新文件后，会清除最旧的文件。默认为 0 ( 无限制)。

现在，您可以配置证书系统如何处理旧的 CRL 文件。(BZ#1327683)

在 `pkispawn` 配置中指定用于克隆的证书 nick 名称

在克隆安装过程中，克隆从 pkispawn 配置文件中的 pki_clone_pkcs12_path 参数指定的 PKCS the 文件中导入系统证书。在以前的版本中，不需要在 PKCS the 文件中指定证书的 nick 名称。

由于新的 IPA 要求，必须更改证书导入机制。在这个版本中，为了确保证书使用正确的信任属性导入，必须在以下参数中指定 CA 签名证书的 nick 名称和 audit 签名证书：

pki_ca_signing_nickname
pki_audit_signing_nickname (BZ#1321491)

使用现有 CA 证书和密钥部署证书系统

在以前的版本中，证书系统在内部为证书颁发机构(CA)证书生成密钥。有了这个更新，密钥生成是可选的，证书系统现在支持重复使用现有的 CA 证书和密钥，这些证书和密钥可以使用 PKCS the 文件或硬件安全模块(HSM)提供。这种机制可让管理员从现有 CA 迁移到证书系统。(BZ#1289323)

用作客户端的实例的单独密码列表

在这个功能之前，当证书系统实例充当服务器以及客户端时，将使用 server.xml 文件中指定的密码列表。在某些情况下，某些密码不需要或者无法正常工作。这个更新可让管理员更严格的控制，因为管理员能够在服务器充当两个证书系统子系统之间的通信的客户端时指定允许的 SSL 密码列表。此密码列表与服务器中存储的列表分开。(BZ#1302136)

支持使用 `BEGIN/END PKCS7` 标签的 PKCS1147 证书链

为了遵守 RFC 7468，PKI 工具现在接受并生成带有 BEGIN/END PKCS7 标签而不是 BEGIN/END CERTIFICATE CHAIN 标签的 PKCS1147 证书链。(BZ#1353005)

krb5 rebase 到版本 1.14.1

krb5 软件包已更新至上游版本 1.14.1，它提供很多改进、新功能和程序错误修复。值得注意的是，它实现了身份验证指标支持来提高安全性。详情请查看 http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html (BZ39)1292153）

Kerberos 客户端现在支持配置片断

/etc/krb5.conf 文件现在从 /etc/krb5.conf.d/ 目录中加载配置片断。这可满足现有分发配置标准和加密策略管理。现在，用户可以分割配置文件，并将代码片段存储在 /etc/krb5.conf.d/ 目录中。(BZ#1146945)

IdM rebase 到版本 4.4.0

ipa* 软件包已升级到上游版本 4.4.0，它提供很多程序错误修复和增强：

改进了身份管理(IdM)服务器性能，如通过许多成员进行快速配置、Kerberos 身份验证和用户和组操作。
DNS 位置，使分支办公室的客户端只能联系本地服务器，并可能回退到远程服务器。
中央复制拓扑管理。
支持的复制合作伙伴的数量已从 20 个增加到 60 个副本。
对一次性密码(OTP)和 RADIUS 的身份验证指标支持。可以为主机和服务单独启用身份验证指标。
子 CA 支持可让管理员创建单独的证书颁发机构来为特定服务发布证书。
增强的活动目录(AD)用户的智能卡支持可让管理员将智能卡证书存储在 AD 或 IdM 覆盖中。
IdM 服务器 API 版本。
支持使用 AD 建立外部信任。
替代 AD 用户主体名称(UPN)后缀。(BZ#1292141)

SSSD 现在启用从 AD 服务器获取 autofs 映射

现在，您可以使用 /etc/sssd/sssd.conf 文件的 [domain] 部分中的 autofs_provider=ad 设置。使用这个设置，系统安全服务守护进程(SSSD)从 Active Directory (AD)服务器获取 autofs 映射。

在以前的版本中，当需要在 AD 中存储 autofs 映射时，AD 服务器管理员必须使用 autofs_provider=ldap 设置并手动配置 LDAP 提供程序，包括绑定方法、搜索基础和其他参数。在这个版本中，只需要在 sssd.conf 中设置 autofs_provider=ad。

请注意，SSSD 期望 AD 中存储的 autofs 映射遵循 RFC2307 中定义的格式：https://tools.ietf.org/html/rfc2307 (BZ39)874985）

`dyndns_server` 选项允许指定要接收动态 DNS 更新的 DNS 服务器

系统安全服务守护进程(SSSD)现在支持 /etc/sssd/sssd.conf 文件中的 dyndns_server 选项。选项指定启用 dyndns_update 选项时，使用 DNS 记录自动更新的 DNS 服务器。

该选项很有用，例如，在 DNS 服务器与身份服务器不同的环境中。在这种情况下，您可以使用 dyndnds_server 启用 SSSD 来更新指定的 DNS 服务器上的 DNS 记录。(BZ#1140022)

SSSD 现在支持使用 `full_name_format=%1$s` 将 AD 可信用户的输出名称设置为短名称

在以前的版本中，在信任设置中，某些系统安全服务守护进程(SSSD)功能需要使用 /etc/sssd/sssd.conf 文件中的 full_name_format 选项的默认值。使用 full_name_format=%1$s 将可信 Active Directory (AD)用户的输出格式设置为短名称会破坏其他功能。

在这个版本中，用户名的内部表示与输出格式分离。现在，您可以在不破坏其他 SSSD 功能的情况下使用 full_name_format=%1$s。

请注意，输入名称必须仍然有效，但 sssd.conf 中使用 default_domain_suffix 选项时除外。(BZ#1287209)

文档现在描述了使用 AD DNS 主机名的 IdM 客户端的配置和限制

身份管理(IdM)文档已被改进，现在描述了位于可信 Active Directory (AD)域的 DNS 名字空间中的 IdM 客户端的配置。请注意，这不是推荐的配置，有一些限制。例如，只有密码身份验证才能访问这些客户端，而不是单点登录。红帽建议始终在与 AD 拥有的 DNS 区域中部署 IdM 客户端，并通过其 IdM 主机名访问 IdM 客户端。

详情请查看 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/ipa-in-ad-dns.html。(BZ#1320838)

证书系统现在支持为单个安装设置 SSL 密码

在以前的版本中，如果现有证书服务器设置了与安装过程中使用的默认密码重叠的自定义密码，则无法安装新实例来与现有实例一起工作。有了这个更新，证书系统允许您使用两步安装自定义 SSL 密码，从而避免了此问题。要在证书系统实例安装过程中设置密码：

1.准备包含 pki_skip_configuration=True 选项的部署配置文件。

2.将部署配置文件传递给 pkispawn 命令，以启动安装的初始部分。

3.在 /var/lib/pki/<instance>/conf/server.xml 文件中的 sslRangeCiphers 选项中设置密码。

4.在部署配置文件中，将 pki_skip_configuration=True 选项替换为 pki_skip_installation=True。

5.运行相同的 pkispawn 命令以完成安装。(BZ#1303175)

用于配置副本发行超时的新属性

在多个 master 同时接收更新的多 master 复制环境中，一个 master 可能会对副本进行独占访问，并保存它，因为网络连接较慢。在此期间，其他 master 会被阻止访问同一副本，这会大大降低复制过程的速度。

在这个版本中，添加了一个新的配置属性 nsds5ReplicaReleaseTimeout，可用于指定超时（以秒为单位）。在指定的超时时间通过后，master 会发布副本，允许其他 master 访问并发送其更新。(BZ#1349571)

Language and Page Formatting Options