Red Hat Training

A Red Hat training course is available for RHEL 8

4.9. Identitätsmanagement (Maschinenübersetzung)

Syntaxprüfungen für neue Passwörter im Directory Server

Diese Erweiterung fügt dem Directory Server neue Syntaxprüfungen für Passwörter hinzu. Administratoren können nun z.B. Dictionary-Prüfungen aktivieren, die Verwendung von Zeichenfolgen und Palindromen erlauben oder verweigern. Wenn diese Option aktiviert ist, erzwingt die Syntaxprüfung der Kennwortrichtlinien im Directory Server die Verwendung von sichereren Kennwörtern.

(BZ#1334254)

Directory Server bietet jetzt eine verbesserte Unterstützung für die interne Betriebsaufzeichnung

Mehrere Operationen im Directory Server, die vom Server und den Clients initiiert werden, führen zu zusätzlichen Operationen im Hintergrund. Bisher hat der Server nur für interne Operationen das InternalVerbindungsschlüsselwort protokolliert, und die Operations-ID wurde immer auf -1. gesetzt. Mit dieser Erweiterung protokolliert Directory Server die tatsächliche Verbindungs- und Betriebs-ID. Sie können nun die interne Operation auf den Server- oder Client-Betrieb zurückverfolgen, der diese Operation verursacht hat.

Weitere Details zur Protokollierung interner Operationen finden Sie unter dem Link:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

Die tomcatjssBibliothek unterstützt die OCSP-Prüfung mit dem Responder der AIA-Erweiterung

Mit dieser Erweiterung unterstützt die tomcatjssBibliothek die Überprüfung des Online Certificate Status Protocol (OCSP) unter Verwendung des Responders der Authority Information Access (AIA) Erweiterung eines Zertifikats. Dadurch können Administratoren des Red Hat Certificate System nun die OCSP-Prüfung konfigurieren, die die URL der AIA-Erweiterung verwendet.

(BZ#1636564)

Directory Server stellt neue Befehlszeilen-Dienstprogramme zur Verwaltung von Instanzen vor

Red Hat Directory Server 11.0 führt die dsctlDienstprogrammedscreate,dsconf,, und ein. Diese Dienstprogramme vereinfachen die Verwaltung von Directory Server über die Befehlszeile. Beispielsweise können Sie nun mit einem Befehl mit Parametern eine Funktion konfigurieren, anstatt komplexe LDIF-Anweisungen an den Server zu senden.

Im Folgenden erhalten Sie einen Überblick über den Zweck der einzelnen Dienstprogramme:

  • Verwenden Sie das dscreateDienstprogramm, um neue Directory Server-Instanzen im interaktiven Modus oder in einer INF-Datei zu erstellen. Beachten Sie, dass sich das INF-Dateiformat von demjenigen unterscheidet, das das Installationsprogramm in früheren Directory Server-Versionen verwendet hat.

  • Verwenden Sie das dsconfDienstprogramm, um Directory Server-Instanzen während der Laufzeit zu verwalten. Verwenden dsconfSie zum Beispiel:

    • Konfigurieren Sie die Einstellungen im cn=configEintrag
    • Plug-Ins konfigurieren
    • Replikation konfigurieren
    • Sichern und Wiederherstellen einer Instanz

  • Verwenden Sie das dsctlDienstprogramm, um Directory Server-Instanzen zu verwalten, während sie offline sind. Verwenden dsctlSie zum Beispiel:

    • Starten und Stoppen einer Instanz
    • Neuindizierung der Serverdatenbank
    • Sichern und Wiederherstellen einer Instanz

Diese Dienstprogramme ersetzen die Perl- und Shell-Skripte, die in Directory Server 10 als veraltet gekennzeichnet sind. Die Skripte sind weiterhin im nicht unterstützten 389-ds-base-legacy-toolsPaket verfügbar, jedoch unterstützt Red Hat nur die Verwaltung von Directory Server mit den neuen Dienstprogrammen.

Beachten Sie, dass die Konfiguration von Directory Server mit LDIF-Anweisungen weiterhin unterstützt wird, aber Red Hat empfiehlt die Verwendung der Dienstprogramme.

Weitere Informationen zur Verwendung der Hilfsmittel finden Sie im Abschnitt Red Hat Directory Server 11 Documentation.

(BZ#1693159)

Die Befehle pki subsystem-cert-findund pki subsystem-cert-showzeigen nun die Seriennummer der Zertifikate an

Mit dieser Erweiterung zeigen die Befehle pki subsystem-cert-findand pki subsystem-cert-showim Zertifikatssystem die Seriennummer der Zertifikate in ihrer Ausgabe an. Die Seriennummer ist eine wichtige Information und wird oft von mehreren anderen Befehlen benötigt. Dadurch wird die Identifizierung der Seriennummer eines Zertifikats vereinfacht.

(BZ#1566360)

Die Befehle pki userund pki groupwurden im Zertifikatssystem veraltet

Mit diesem Update ersetzen die neuen pki <subsystem>-userund pki <subsystem>-groupBefehle die Befehle pki userund pki groupim Zertifikatssystem. Die ersetzten Befehle funktionieren weiterhin, aber sie zeigen eine Meldung an, dass der Befehl veraltet ist und beziehen sich auf die neuen Befehle.

(BZ#1394069)

Das Zertifikatssystem unterstützt nun die Offline-Verlängerung von Systemzertifikaten

Mit dieser Erweiterung können Administratoren die Offline-Verlängerung nutzen, um im Zertifikatsystem konfigurierte Systemzertifikate zu verlängern. Wenn ein Systemzertifikat abläuft, kann das Zertifikatssystem nicht gestartet werden. Durch die Erweiterung benötigen Administratoren keine Umgehungsmöglichkeiten mehr, um ein abgelaufenes Systemzertifikat zu ersetzen.

(BZ#1669257)

Das Zertifikatsystem kann nun CSRs mit SKI-Erweiterung für die externe CA-Signatur erstellen

Mit dieser Erweiterung unterstützt das Zertifikatssystem die Erstellung einer Zertifikats-Signaturanforderung (CSR) mit der Erweiterung Subject Key Identifier (SKI) für die Signatur einer externen Zertifizierungsstelle (CA). Bestimmte CAs benötigen diese Erweiterung entweder mit einem bestimmten Wert oder abgeleitet vom öffentlichen Schlüssel der CA. Dadurch können Administratoren nun den pki_req_skiParameter in der an das pkispawnVersorgungsunternehmen übergebenen Konfigurationsdatei verwenden, um einen CSR mit SKI-Erweiterung zu erstellen.

(BZ#1656856)

Lokale Benutzer werden von SSSD zwischengespeichert und über das nss_sssModul bedient

In RHEL 8 bedient der System Security Services Daemon (SSSD) standardmäßig Benutzer und Gruppen aus den /etc/passwdund /etc/groupsDateien. Das sssnsswitch-Modul geht Dateien in der /etc/nsswitch.confDatei voraus.

Der Vorteil der Bedienung lokaler Benutzer über SSSD ist, dass das nss_sssModul eine schnellememory-mapped cache, beschleunigte Suche nach Name Service Switch (NSS) hat, verglichen mit dem Zugriff auf die Festplatte und dem Öffnen der Dateien bei jedem NSS-Request. Bisher half der Name Service Cache Daemon (nscd), den Prozess des Zugriffs auf die Festplatte zu beschleunigen. Die parallele Verwendung nscdmit SSSD ist jedoch umständlich, da sowohl SSSD als auch nscdein eigenes unabhängiges Caching verwendet werden. Daher kann die Verwendung nscdin Setups, in denen SSSD auch Benutzer aus einer entfernten Domäne, z.B. LDAP oder Active Directory, bedient, zu unvorhersehbarem Verhalten führen.

Mit diesem Update ist die Auflösung von lokalen Benutzern und Gruppen in RHEL 8 schneller. Beachten Sie, dass der rootBenutzer nie von SSSD behandelt wird, daher kann die rootAuflösung nicht durch einen möglichen Fehler in SSSD beeinträchtigt werden. Beachten Sie auch, dass das nss_sssModul, wenn SSSD nicht ausgeführt wird, die Situation problemlos handhabt, indem es zurückgreift, nss_filesum Probleme zu vermeiden. Sie müssen SSSD in keiner Weise konfigurieren, die Datei-Domäne wird automatisch hinzugefügt.

(JIRA:RHELPLAN-10439)

KCM ersetzt KEYRING als Standard-Cache-Speicher für Anmeldeinformationen

In RHEL 8 ist der standardmäßige Speicher für den Credential-Cache der Kerberos Credential Manager (KCM), der durch den sssd-kcmDeamon unterstützt wird. KCM überwindet die Einschränkungen des zuvor verwendeten SCHLÜSSELRINGS, wie z.B. die Schwierigkeit, ihn in containerisierten Umgebungen zu verwenden, da er nicht namensgesteuert ist, und um Quoten anzuzeigen und zu verwalten.

Mit diesem Update enthält RHEL 8 einen Credential-Cache, der besser für containerisierte Umgebungen geeignet ist und die Grundlage für den Aufbau weiterer Funktionen in zukünftigen Versionen bildet.

(JIRA:RHELPLAN-10440)

Active Directory-Benutzer können nun Identitätsmanagement verwalten

Mit diesem Update ermöglicht RHEL 8 das Hinzufügen einer Übersteuerung der Benutzer-ID für einen Active Directory (AD)-Benutzer als Mitglied einer Identity Management (IdM)-Gruppe. Ein ID-Override ist ein Datensatz, der beschreibt, wie ein bestimmter AD-Benutzer oder eine bestimmte Gruppeneigenschaft innerhalb einer bestimmten ID-Ansicht, in diesem Fall der Standard-Trust-Ansicht, aussehen sollte. Als Folge des Updates ist der IdM-LDAP-Server in der Lage, Zugriffskontrollregeln für die IdM-Gruppe auf den AD-Benutzer anzuwenden.

AD-Benutzer können nun die Self-Service-Funktionen der IdM-Benutzeroberfläche nutzen, z.B. um ihre SSH-Schlüssel hochzuladen oder ihre persönlichen Daten zu ändern. Ein AD-Administrator ist in der Lage, IdM vollständig zu verwalten, ohne zwei verschiedene Konten und Passwörter zu haben. Beachten Sie, dass derzeit ausgewählte Funktionen in IdM für AD-Benutzer möglicherweise noch nicht verfügbar sind.

(JIRA:RHELPLAN-10442)

sssctl druckt einen HBAC-Regelbericht für eine IdM-Domain aus

Mit diesem Update kann das sssctlDienstprogramm des System Security Services Daemon (SSSD) einen Zugriffskontrollbericht für eine Identity Management (IdM)-Domäne drucken. Diese Funktion erfüllt die Anforderungen bestimmter Umgebungen, aus rechtlichen Gründen eine Liste von Benutzern und Gruppen zu sehen, die auf einen bestimmten Client-Computer zugreifen können. Wenn es auf einem IdM-Client ausgeführt sssctl access-report domain_namewird, wird die geparste Teilmenge der HBAC-Regeln (Host-based Access Control) in der IdM-Domäne gedruckt, die für den Client-Computer gelten.

Beachten Sie, dass keine anderen Anbieter als IdM diese Funktion unterstützen.

(JIRA:RHELPLAN-10443)

Identitätsmanagement-Pakete sind als Modul erhältlich

In RHEL 8 werden die für die Installation eines Identity Management (IdM)-Servers und -Clients erforderlichen Pakete als Modul ausgeliefert. Der clientStream ist der Standard-Stream des idmModuls und Sie können die für die Installation des Clients erforderlichen Pakete herunterladen, ohne den Stream zu aktivieren.

Der IdM-Server-Modul-Stream wird als DL1Stream bezeichnet. Der Stream enthält mehrere Profile, die verschiedenen Typen von IdM-Servern entsprechen: Server, DNS, Adtrust, Client und Standard. Um die Pakete in einem bestimmten Profil des DL1Streams herunterzuladen: . Aktivieren Sie den Stream. Wechseln Sie zu den RPMs, die durch den Stream geliefert werden. Führen Sie den yum module install idm:DL1/profile_nameBefehl aus.

(JIRA:RHELPLAN-10438)

Sitzungsaufzeichnungslösung für RHEL 8 hinzugefügt

Red Hat Enterprise Linux 8 (RHEL 8) wurde um eine Sitzungsaufzeichnungslösung erweitert. Ein neues tlogPaket und der zugehörige Webkonsolen-Sitzungsplayer ermöglichen die Aufzeichnung und Wiedergabe der Benutzer-Terminalsitzungen. Die Aufzeichnung kann pro Benutzer oder Benutzergruppe über den Service System Security Services Daemon (SSSD) konfiguriert werden. Alle Ein- und Ausgänge der Terminals werden erfasst und in einem Systemjournal in einem textbasierten Format gespeichert. Die Eingabe ist aus Sicherheitsgründen standardmäßig inaktiv, um Rohpasswörter und andere sensible Informationen nicht abzufangen.

Die Lösung kann für die Auditierung von Benutzersitzungen auf sicherheitsrelevanten Systemen eingesetzt werden. Im Falle eines Sicherheitsverstoßes können die aufgezeichneten Sitzungen im Rahmen einer forensischen Analyse überprüft werden. Die Systemadministratoren können nun die Sitzungsaufzeichnung lokal konfigurieren und das Ergebnis über die RHEL 8 Webkonsolenschnittstelle oder über die Kommandozeilenschnittstelle mit dem tlog-playDienstprogramm anzeigen.

(JIRA:RHELPLAN-1473)

authselect vereinfacht die Konfiguration der Benutzerauthentifizierung

Dieses Update stellt das authselectDienstprogramm vor, das die Konfiguration der Benutzerauthentifizierung auf RHEL 8-Hosts vereinfacht und das authconfigDienstprogramm ersetzt. authselectEs enthält einen sichereren Ansatz für das PAM-Stapelmanagement, der die Änderungen der PAM-Konfiguration für Systemadministratoren einfacher macht. authselectkann zur Konfiguration von Authentifizierungsmethoden wie Passwörter, Zertifikate, Smartcards und Fingerabdrücke verwendet werden. Beachten Sie, dass authselectkeine Dienste konfiguriert werden, die für die Verbindung von Remote-Domänen erforderlich sind. Diese Aufgabe wird von spezialisierten Werkzeugen übernommen, wie z.B. realmdoder ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD ermöglicht es Ihnen nun, eines der mehreren Smartcard-Authentifizierungsgeräte auszuwählen

Mit diesem Update können Sie den PKCS#11 URI für die Auswahl von Smartcard-Authentifizierungsgeräten konfigurieren.

Standardmäßig versucht SSSD, ein Gerät für die Smartcard-Authentifizierung automatisch zu erkennen. Wenn mehrere Geräte verbunden sind, wählt SSSD das erste gefundene Gerät aus und Sie können das entsprechende Gerät nicht auswählen. Es kann zu Ausfällen führen.

Daher können Sie nun eine neue p11_uriOption für den [pam]Abschnitt von sssd.conf. Mit dieser Option können Sie festlegen, welches Gerät für die Smartcard-Authentifizierung verwendet wird.

Um beispielsweise den Leser mit der vom OpenSC PKCS#11-Modul erkannten Slot-ID'2' auszuwählen, fügen Sie Folgendes hinzu

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

in den [pam]Abschnitt von sssd.conf.

Bitte beachten man sssd-confSie die Details.

(BZ#1620123)