Red Hat Training

A Red Hat training course is available for RHEL 8

4.9. Gestion de l'identité (traduction automatique)

Nouveau contrôle de syntaxe des mots de passe dans Directory Server

Cette amélioration ajoute de nouveaux contrôles de syntaxe des mots de passe à Directory Server. Les administrateurs peuvent maintenant, par exemple, activer les vérifications de dictionnaire, autoriser ou refuser l'utilisation de séquences de caractères et de palindromes. Par conséquent, si cette option est activée, le contrôle de syntaxe de la stratégie de mot de passe dans Directory Server permet d'appliquer des mots de passe plus sûrs.

(BZ#1334254)

Directory Server offre désormais un meilleur support de journalisation des opérations internes

Plusieurs opérations dans Directory Server, initiées par le serveur et les clients, provoquent des opérations supplémentaires en arrière-plan. Auparavant, le serveur n'enregistrait que le mot-clé de Internalconnexion pour les opérations internes et l'ID de l'opération était toujours défini sur -1. Avec cette amélioration, Directory Server enregistre la connexion réelle et l'ID d'opération. Vous pouvez maintenant tracer l'opération interne jusqu'à l'opération serveur ou client à l'origine de cette opération.

Pour plus de détails sur l'enregistrement des opérations internes, voir le lien : https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

La tomcatjssbibliothèque prend en charge la vérification OCSP à l'aide du répondeur de l'extension AIA

Grâce à cette amélioration, la tomcatjssbibliothèque prend en charge la vérification du protocole OCSP (Online Certificate Status Protocol) à l'aide du répondeur de l'extension AIA (Authority Information Access) d'un certificat. En conséquence, les administrateurs de Red Hat Certificate System peuvent désormais configurer le contrôle OCSP qui utilise l'URL de l'extension AIA.

(BZ#1636564)

Directory Server introduit de nouveaux utilitaires en ligne de commande pour gérer les instances

Red Hat Directory Server 11.0 présente les dscreateutilitaires dsconf, et les dsctlutilitaires. Ces utilitaires simplifient la gestion de Directory Server en utilisant la ligne de commande. Par exemple, vous pouvez maintenant utiliser une commande avec des paramètres pour configurer une fonctionnalité au lieu d'envoyer des instructions LDIF complexes au serveur.

Voici un aperçu de l'objet de chaque service public :

  • Utilisez l'dscreateutilitaire pour créer de nouvelles instances de Directory Server en utilisant le mode interactif ou un fichier INF. Notez que le format de fichier INF est différent de celui utilisé par le programme d'installation dans les versions précédentes de Directory Server.

  • Utilisez l'dsconfutilitaire pour gérer les instances du serveur de répertoire pendant l'exécution. Par exemple, utilisez dsconf:

    • Configurer les paramètres dans l'cn=configentrée
    • Configurer les plug-ins
    • Configurer la réplication
    • Sauvegarder et restaurer une instance

  • Utilisez l'dsctlutilitaire pour gérer les instances de Directory Server lorsqu'elles sont hors ligne. Par exemple, utilisez dsctl:

    • Démarrer et arrêter une instance
    • Réindexer la base de données du serveur
    • Sauvegarder et restaurer une instance

Ces utilitaires remplacent les scripts Perl et shell marqués comme obsolètes dans Directory Server 10. Les scripts sont toujours disponibles dans le package non 389-ds-base-legacy-toolssupporté, mais Red Hat ne prend en charge que la gestion de Directory Server en utilisant les nouveaux utilitaires.

Notez que la configuration de Directory Server à l'aide des instructions LDIF est toujours supportée, mais Red Hat recommande d'utiliser les utilitaires.

Pour plus de détails sur l'utilisation des utilitaires, voir la section Red Hat Directory Server 11 Documentation.

(BZ#1693159)

Les commandes pki subsystem-cert-findet pki subsystem-cert-showet indiquent maintenant le numéro de série des certificats

Avec cette amélioration, les commandes pki subsystem-cert-findet pki subsystem-cert-showdu Système de certificats affichent le numéro de série des certificats dans leur sortie. Le numéro de série est un élément d'information important et souvent requis par de multiples autres commandes. Par conséquent, il est maintenant plus facile d'identifier le numéro de série d'un certificat.

(BZ#1566360)

Les commandes pki useret pki groupet ont été dépréciées dans le système de certification

Avec cette mise à jour, les nouvelles pki <subsystem>-userpki <subsystem>-groupcommandes et remplacent les commandes pki useret pki groupdans Certificate System. Les commandes remplacées fonctionnent toujours, mais elles affichent un message indiquant que la commande est obsolète et font référence aux nouvelles commandes.

(BZ#1394069)

Certificate System prend désormais en charge le renouvellement hors ligne des certificats système

Grâce à cette amélioration, les administrateurs peuvent utiliser la fonction de renouvellement hors ligne pour renouveler les certificats système configurés dans Certificate System. Lorsqu'un certificat système expire, le système de certification ne démarre pas. Grâce à cette amélioration, les administrateurs n'ont plus besoin de solutions de contournement pour remplacer un certificat système expiré.

(BZ#1669257)

Certificate System peut désormais créer des CSR avec extension SKI pour la signature externe d'AC

Grâce à cette amélioration, Certificate System prend en charge la création d'une demande de signature de certificat (CSR) avec l'extension SKI (Subject Key Identifier) pour la signature d'une autorité de certification (CA) externe. Certaines AC ont besoin de cette extension, soit avec une valeur particulière, soit dérivée de la clé publique de l'AC. Par conséquent, les administrateurs peuvent maintenant utiliser le pki_req_skiparamètre du fichier de configuration transmis à l'pkispawnutilitaire pour créer un CSR avec extension SKI.

(BZ#1656856)

Les utilisateurs locaux sont mis en cache par SSSD et servis par le nss_sssmodule

Dans RHEL 8, le démon des services de sécurité du système (SSSD) sert par défaut les utilisateurs et les groupes des fichiers /etc/passwdet /etc/groupsdes fichiers. Le module sssnsswitch précède les fichiers du /etc/nsswitch.conffichier.

L'avantage de servir les utilisateurs locaux par l'intermédiaire de la DSSS est que le nss_sssmodule est rapidememory-mapped cache, ce qui accélère la recherche par commutateur de service de nom (NSS) par rapport à l'accès au disque et à l'ouverture des fichiers pour chaque requête NSS. Auparavant, le démon de cache du service de nom (nscd) permettait d'accélérer le processus d'accès au disque. Cependant, l'utilisation nscden parallèle avec la DSSS est encombrante, car la DSSS et nscdsa propre mise en cache indépendante sont toutes deux utilisées. Par conséquent, l'utilisation nscddans des configurations où SSSD sert également des utilisateurs d'un domaine distant, par exemple LDAP ou Active Directory, peut provoquer des comportements imprévisibles.

Avec cette mise à jour, la résolution des utilisateurs et groupes locaux est plus rapide dans RHEL 8. Notez que l'rootutilisateur n'est jamais géré par SSSD, donc la rootrésolution ne peut pas être affectée par un bug potentiel dans SSSD. Notez également que si SSSD n'est pas en cours d'exécution, le nss_sssmodule gère la situation avec grâce en se repliant sur pour nss_fileséviter les problèmes. Vous n'avez pas besoin de configurer SSSD de quelque façon que ce soit, le domaine des fichiers est ajouté automatiquement.

(JIRA:RHELPLAN-10439)

KCM remplace KEYRING comme mémoire cache par défaut pour les informations d'identification

Dans RHEL 8, la mémoire cache par défaut est le Kerberos Credential Manager (KCM) qui est soutenu par le sssd-kcmdeamon. KCM surmonte les limites du KEYRING précédemment utilisé, comme le fait qu'il est difficile à utiliser dans des environnements conteneurisés parce qu'il n'est pas doté d'un rythme de noms, et qu'il permet de visualiser et de gérer les quotas.

Avec cette mise à jour, RHEL 8 contient un cache d'informations d'identification qui est mieux adapté aux environnements conteneurisés et qui fournit une base pour construire plus de fonctionnalités dans les versions futures.

(JIRA:RHELPLAN-10440)

Les utilisateurs d'Active Directory peuvent désormais administrer la gestion des identités

Avec cette mise à jour, RHEL 8 permet d'ajouter un code d'utilisateur prioritaire pour un utilisateur Active Directory (AD) en tant que membre d'un groupe Identity Management (IdM). Un remplacement d'ID est un enregistrement décrivant à quoi devrait ressembler un utilisateur AD ou des propriétés de groupe spécifiques dans une vue ID spécifique, dans ce cas la vue de confiance par défaut. En conséquence de la mise à jour, le serveur LDAP IdM est capable d'appliquer les règles de contrôle d'accès pour le groupe IdM à l'utilisateur AD.

Les utilisateurs AD peuvent maintenant utiliser les fonctionnalités en libre-service d'IdM UI, par exemple pour télécharger leurs clés SSH, ou modifier leurs données personnelles. Un administrateur AD est capable d'administrer entièrement IdM sans avoir deux comptes et mots de passe différents. Notez qu'à l'heure actuelle, certaines fonctions d'IdM peuvent encore ne pas être disponibles pour les utilisateurs AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un rapport de règles HBAC pour un domaine IdM

Avec cette mise à jour, l'sssctlutilitaire du démon des services de sécurité du système (DSSD) peut imprimer un rapport de contrôle d'accès pour un domaine IdM (Identity Management). Cette fonctionnalité répond au besoin de certains environnements de voir, pour des raisons réglementaires, une liste d'utilisateurs et de groupes qui peuvent accéder à une machine cliente spécifique. L'exécution sssctl access-report domain_namesur un client IdM imprime le sous-ensemble analysé de règles de contrôle d'accès basé sur l'hôte (HBAC) dans le domaine IdM qui s'appliquent à la machine cliente.

Notez qu'aucun autre fournisseur que IdM ne supporte cette fonctionnalité.

(JIRA:RHELPLAN-10443)

Les progiciels de gestion des identités sont disponibles sous forme de module

Dans RHEL 8, les paquets nécessaires à l'installation d'un serveur et d'un client de gestion des identités (IdM) sont livrés sous forme de module. Le clientflux est le flux par défaut du idmmodule et vous pouvez télécharger les paquets nécessaires pour installer le client sans activer le flux.

Le flux du module serveur IdM s'appelle le DL1flux. Le flux contient plusieurs profils correspondant à différents types de serveurs IdM : serveur, dns, adtrust, client et par défaut. Pour télécharger les paquets dans un profil spécifique du DL1flux : . Activer le flux. . Passez aux RPM diffusés par le flux. . Exécutez la yum module install idm:DL1/profile_namecommande.

(JIRA:RHELPLAN-10438)

Ajout d'une solution d'enregistrement de session pour RHEL 8

Une solution d'enregistrement de session a été ajoutée à Red Hat Enterprise Linux 8 (RHEL 8). Un nouveau tlogpackage et son lecteur de session console web associé permettent d'enregistrer et de lire les sessions du terminal utilisateur. L'enregistrement peut être configuré par utilisateur ou groupe d'utilisateurs via le service System Security Services Daemon (SSSD). Toutes les entrées et sorties du terminal sont saisies et stockées sous forme de texte dans un journal système. L'entrée est inactive par défaut pour des raisons de sécurité afin de ne pas intercepter les mots de passe bruts et autres informations sensibles.

La solution peut être utilisée pour l'audit des sessions utilisateurs sur des systèmes sensibles du point de vue de la sécurité. En cas d'atteinte à la sécurité, les séances enregistrées peuvent être examinées dans le cadre d'une analyse judiciaire. Les administrateurs système peuvent maintenant configurer l'enregistrement de la session en local et visualiser le résultat à partir de l'interface de la console web RHEL 8 ou de l'interface en ligne de commande en utilisant l'tlog-playutilitaire.

(JIRA:RHELPLAN-1473)

authselect simplifie la configuration de l'authentification utilisateur

Cette mise à jour présente l'authselectutilitaire qui simplifie la configuration de l'authentification utilisateur sur les hôtes RHEL 8, en remplacement de l'authconfigutilitaire. authselects'accompagne d'une approche plus sûre de la gestion de la pile PAM qui simplifie les changements de configuration PAM pour les administrateurs système. authselectpeut être utilisé pour configurer les méthodes d'authentification comme les mots de passe, certificats, cartes à puce et empreinte. Notez que authselectne configure pas les services requis pour rejoindre les domaines distants. Cette tâche est effectuée par des outils spécialisés, tels que realmdou ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD vous permet maintenant de sélectionner l'un des multiples dispositifs d'authentification par carte à puce

Avec cette mise à jour, vous pouvez configurer PKCS#11 URI pour la sélection des périphériques d'authentification Smartcard.

Par défaut, SSSD tente de détecter automatiquement un périphérique pour l'authentification par carte à puce. S'il y a plusieurs périphériques connectés, SSSD sélectionnera le premier périphérique trouvé et vous ne pouvez pas sélectionner le périphérique particulier. Cela peut mener à des échecs.

Par conséquent, vous pouvez maintenant configurer une nouvelle p11_urioption pour la [pam]section de sssd.conf. Cette option vous permet de définir quel périphérique sera utilisé pour l'authentification par carte à puce.

Par exemple, pour sélectionner le lecteur avec l'identifiant d'emplacement'2' détecté par le module OpenSC PKCS#11, ajoutez

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

à la [pam]section de sssd.conf.

Veuillez consulter man sssd-confpour plus de détails.

(BZ#1620123)