4.9. Gestión de identidades (traducción automática)

Nuevas comprobaciones de sintaxis de contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de sintaxis de contraseñas al servidor de directorios. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones del diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si está habilitado, la comprobación de la sintaxis de la política de contraseñas en el Servidor de directorios hace que las contraseñas sean más seguras.

(BZ#1334254)

El servidor de directorios ahora proporciona soporte mejorado para el registro de operaciones internas

Varias operaciones en el servidor de directorios, iniciadas por el servidor y los clientes, causan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba la palabra clave de Internalconexión para las operaciones internas, y el ID de la operación siempre se establecía en -1. Con esta mejora, el servidor de directorio registra el ID de conexión y operación real. Ahora puede rastrear la operación interna hasta la operación del servidor o cliente que causó esta operación.

Para más detalles sobre el registro de operaciones internas, véase el enlace: https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

La tomcatjssbiblioteca admite la comprobación OCSP utilizando el respondedor de la extensión AIA

Con esta mejora, la tomcatjssbiblioteca admite la comprobación en línea del protocolo de estado de certificados (OCSP) utilizando el respondedor de la extensión Authority Information Access (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System ahora pueden configurar la comprobación OCSP que utiliza la URL de la extensión AIA.

(BZ#1636564)

Directory Server presenta nuevas utilidades de línea de comandos para gestionar instancias

Red Hat Directory Server 11.0 presenta el dscreate, dsconf, y dsctlutilidades. Estas utilidades simplifican la gestión del servidor de directorios mediante la línea de comandos. Por ejemplo, ahora puede utilizar un comando con parámetros para configurar una característica en lugar de enviar complejas instrucciones LDIF al servidor.

A continuación se ofrece una descripción general del propósito de cada utilidad:

  • Utilice la dscreateutilidad para crear nuevas instancias del servidor de directorios utilizando el modo interactivo o un archivo INF. Tenga en cuenta que el formato de archivo INF es diferente al que el instalador usaba en versiones anteriores del servidor de directorios.
  • Utilice la dsconfutilidad para gestionar las instancias del servidor de directorios durante el tiempo de ejecución. Por ejemplo, use dsconfto:

    • Configurar las opciones en la cn=configentrada
    • Configurar plug-ins
    • Configurar la replicación
    • Realizar una copia de seguridad y restaurar una instancia
  • Utilice la dsctlutilidad para gestionar las instancias del servidor de directorios mientras están desconectadas. Por ejemplo, use dsctlto:

    • Iniciar y detener una instancia
    • Re-indexar la base de datos del servidor
    • Realizar una copia de seguridad y restaurar una instancia

Estas utilidades sustituyen a los scripts Perl y shell marcados como obsoletos en Directory Server 10. Los scripts siguen estando disponibles en el paquete no soportado389-ds-base-legacy-tools, sin embargo, Red Hat sólo soporta la gestión de Directory Server utilizando las nuevas utilidades.

Tenga en cuenta que la configuración del servidor de directorios mediante sentencias LDIF sigue siendo compatible, pero Red Hat recomienda utilizar las utilidades.

Para más detalles sobre la utilización de las utilidades, véase la Red Hat Directory Server 11 Documentationsección

(BZ#1693159)

Los pki subsystem-cert-showcomandos pki subsystem-cert-findy muestran ahora el número de serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-findy pki subsystem-cert-showde Sistema de certificados muestran el número de serie de los certificados en su salida. El número de serie es una pieza importante de información y a menudo es requerido por varios otros comandos. Como resultado, ahora es más fácil identificar el número de serie de un certificado.

(BZ#1566360)

Los pki groupcomandos pki usery han sido obsoletos en Sistema de certificados

Con esta actualización, los nuevos pki <subsystem>-usery pki <subsystem>-groupcomandos sustituyen a los comandos pki usery pki groupen el sistema de certificados. Los comandos reemplazados siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y se refieren a los nuevos comandos.

(BZ#1394069)

El sistema de certificados ahora admite la renovación fuera de línea de los certificados del sistema

Con esta mejora, los administradores pueden utilizar la función de renovación fuera de línea para renovar los certificados de sistema configurados en Sistema de certificados. Cuando un certificado de sistema expira, el sistema de certificado no se inicia. Como resultado de la mejora, los administradores ya no necesitan soluciones para reemplazar un certificado de sistema caducado.

(BZ#1669257)

El sistema de certificados ahora puede crear CSRs con extensión SKI para la firma externa de CA

Con esta mejora, el Sistema de certificados admite la creación de una solicitud de firma de certificado (CSR) con la extensión Subject Key Identifier (SKI) para la firma de autoridad de certificación externa (CA). Algunas CA requieren esta extensión, ya sea con un valor particular o derivada de la clave pública de la CA. Como resultado, los administradores ahora pueden utilizar el pki_req_skiparámetro del archivo de configuración pasado a la pkispawnutilidad para crear una CSR con extensión SKI.

(BZ#1656856)

Los usuarios locales son almacenados en caché por SSSD y atendidos a través del nss_sssmódulo

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve por defecto a usuarios y grupos desde los archivos /etc/passwdy/etc/groups. El módulo sssnsswitch precede a los archivos en el /etc/nsswitch.confarchivo.

La ventaja de servir a los usuarios locales a través de SSSD es que el nss_sssmódulo tiene un rápido memory-mapped cacheque acelera las búsquedas de Name Service Switch (NSS) en comparación con el acceso al disco y la apertura de los archivos en cada solicitud NSS. Anteriormente, el demonio de caché del servicio Name (nscd) ayudó a acelerar el proceso de acceso al disco. Sin embargo, el uso nscden paralelo con SSSD es engorroso, ya que tanto SSSD como nscdel uso de su propio caching independiente. Por consiguiente, el uso nscden configuraciones en las que los SSSD también sirven a usuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar un comportamiento impredecible.

Con esta actualización, la resolución de los usuarios y grupos locales es más rápida en RHEL 8. Tenga en cuenta que el rootusuario nunca es manejado por SSSD, por lo tanto, la rootresolución no puede verse afectada por un posible fallo en SSSD. Tenga en cuenta también que si el SSSD no se está ejecutando, el nss_sssmódulo maneja la situación con elegancia al retroceder para nss_filesevitar problemas. No es necesario configurar los SSSD de ninguna manera, el dominio de los archivos se añade automáticamente.

(JIRA:RHELPLAN-10439)

KCM reemplaza a KEYRING como almacenamiento de caché de credenciales predeterminado

En RHEL 8, el almacenamiento de caché de credenciales predeterminado es el Kerberos Credential Manager (KCM), que está respaldado por el sssd-kcmdeamon. KCM supera las limitaciones de la LLAVE utilizada anteriormente, como la dificultad de su uso en entornos contenedorizados al no estar espaciada por nombres, así como para visualizar y gestionar cuotas.

Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a entornos contenedorizados y que proporciona una base para crear más funciones en futuras versiones.

(JIRA:RHELPLAN-10440)

Los usuarios de Active Directory ahora pueden administrar la gestión de identidades

Con esta actualización, RHEL 8 permite añadir una sustitución de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una sustitución de ID es un registro que describe cómo deben verse las propiedades de un usuario o grupo de AD específico dentro de una vista de ID específica, en este caso la Vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP IdM puede aplicar reglas de control de acceso para el grupo IdM al usuario AD.

Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz IdM, por ejemplo, para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD puede administrar completamente la IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta que actualmente, las funciones seleccionadas en IdM pueden no estar disponibles para los usuarios de AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la sssctlutilidad de System Security Services Daemon (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta característica satisface la necesidad de ciertos entornos de ver, por razones regulatorias, una lista de usuarios y grupos que pueden acceder a un equipo cliente específico. La ejecución sssctl access-report domain_nameen un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Tenga en cuenta que ningún otro proveedor que no sea IdM admite esta función.

(JIRA:RHELPLAN-10443)

Los paquetes de gestión de identidades están disponibles como un módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se envían como un módulo. La clientsecuencia es la secuencia predeterminada del idmmódulo y puede descargar los paquetes necesarios para instalar el cliente sin habilitar la secuencia.

El flujo del módulo del servidor IdM se denomina DL1flujo. La secuencia contiene múltiples perfiles correspondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado. Para descargar los paquetes en un perfil específico del DL1stream: . Habilitar el flujo. Cambie a las RPMs entregadas a través del flujo. Ejecute el yum module install idm:DL1/profile_namecomando.

(JIRA:RHELPLAN-10438)

Añadida la solución de grabación de sesiones para RHEL 8

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo tlogpaquete y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones del terminal de usuario. La grabación se puede configurar por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en formato de texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas sin procesar y otra información sensible.

La solución puede utilizarse para auditar las sesiones de usuario en sistemas sensibles a la seguridad. En caso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de un análisis forense. Los administradores del sistema pueden ahora configurar localmente la grabación de la sesión y ver el resultado desde la interfaz de la consola web RHEL 8 o desde la interfaz de la línea de comandos utilizando la tlog-playutilidad.

(JIRA:RHELPLAN-1473)

authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la authselectutilidad que simplifica la configuración de la autenticación de usuario en los hosts RHEL 8, reemplazando a la authconfigutilidad. authselectviene con un enfoque más seguro para la gestión de la pila de PAM que simplifica los cambios de configuración de PAM para los administradores del sistema. authselectpuede utilizarse para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas dactilares. Tenga en cuenta que authselectno configura los servicios necesarios para unir dominios remotos. Esta tarea se realiza mediante herramientas especializadas, como por ipa-client-installejemplorealmd

(JIRA:RHELPLAN-10445)

SSSD ahora le permite seleccionar uno de los múltiples dispositivos de autenticación Smartcard

Con esta actualización, puede configurar PKCS#11 URI para la selección de dispositivos de autenticación Smartcard.

De forma predeterminada, el SSSD intenta detectar automáticamente un dispositivo para la autenticación de Smartcard. Si hay varios dispositivos conectados, el SSSD seleccionará el primero que se encuentre y no podrá seleccionar el dispositivo en particular. Puede conducir a fallos.

Por lo tanto, ahora puede configurar una nueva p11_uriopción para la [pam]sección de sssd.conf. Esta opción le permite definir qué dispositivo se utilizará para la autenticación con Smartcard.

Por ejemplo, para seleccionar el lector con el identificador de ranura '2' detectado por el módulo OpenSC PKCS#11, añada

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

a la [pam]sección de sssd.confla ficha de datos de seguridad

Por favor, consulte man sssd-confpara más detalles.

(BZ#1620123)