Red Hat Training

A Red Hat training course is available for RHEL 8

4.9. Gestione dell'identità (traduzione automatica)

Nuovo controllo della sintassi della password in Directory Server

Questo miglioramento aggiunge nuovi controlli della sintassi delle password a Directory Server. Gli amministratori possono ora, ad esempio, abilitare i controlli dei dizionari, consentire o negare l'uso di sequenze di caratteri e palindromi. Come risultato, se abilitato, il controllo della sintassi dei criteri delle password in Directory Server impone password più sicure.

(BZ#1334254)

Directory Server fornisce ora un migliore supporto interno per la registrazione delle operazioni di logging

Diverse operazioni in Directory Server, avviate dal server e dai client, causano operazioni aggiuntive in background. In precedenza, il server registrava solo per le operazioni interne la parola chiave di Internalconnessione e l'ID dell'operazione era sempre impostato su -1. Con questo miglioramento, Directory Server registra la connessione reale e l'ID dell'operazione. È ora possibile rintracciare l'operazione interna al server o all'operazione client che ha causato questa operazione.

Per ulteriori dettagli sulla registrazione interna delle operazioni, vedere il link:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_interno_operazioni.

(BZ#1358706)

La tomcatjsslibreria supporta il controllo OCSP utilizzando il responder dell'estensione AIA

Con questo miglioramento, la tomcatjsslibreria supporta il controllo del protocollo OCSP (Online Certificate Status Protocol) utilizzando il responder dell'estensione di un certificato dell'Authority Information Access (AIA). Come risultato, gli amministratori di Red Hat Certificate System possono ora configurare il controllo OCSP che utilizza l'URL dell'estensione AIA.

(BZ#1636564)

Directory Server introduce nuove utilità a riga di comando per gestire le istanze

Red Hat Directory Server 11.0 introduce i programmi di dsctlutilità dscreate, dsconf, e , . Queste utilità semplificano la gestione di Directory Server utilizzando la riga di comando. Ad esempio, è ora possibile utilizzare un comando con parametri per configurare una funzione invece di inviare complesse istruzioni LDIF al server.

Di seguito è riportata una panoramica sullo scopo di ogni utilità:

  • Utilizzare l'dscreateutilità per creare nuove istanze di Directory Server utilizzando la modalità interattiva o un file INF. Si noti che il formato del file INF è diverso da quello del programma di installazione utilizzato nelle versioni precedenti di Directory Server.
  • Utilizzare l'dsconfutilità per gestire le istanze di Directory Server durante l'esecuzione. Per esempio, usare dsconfper:

    • Configurare le impostazioni nella cn=configvoce
    • Configurare i plug-in
    • Configurare la replica
    • Backup e ripristino di un'istanza
  • Utilizzare l'dsctlutilità per gestire le istanze di Directory Server mentre sono offline. Per esempio, usare dsctlper:

    • Avviare e fermare un'istanza
    • Re-indicizza il database del server
    • Backup e ripristino di un'istanza

Queste utilità sostituiscono gli script Perl e shell contrassegnati come deprecati in Directory Server 10. Gli script sono ancora disponibili nel 389-ds-base-legacy-toolspacchetto non supportato, tuttavia Red Hat supporta solo la gestione di Directory Server utilizzando le nuove utilità.

Si noti che la configurazione di Directory Server utilizzando istruzioni LDIF è ancora supportata, ma Red Hat consiglia di utilizzare le utilità.

Per ulteriori dettagli sull'utilizzo delle utilità, vedere il file Red Hat Directory Server 11 Documentation.

(BZ#1693159)

I comandi pki subsystem-cert-finde pki subsystem-cert-showe mostrano ora il numero di serie dei certificati

Con questo miglioramento, i comandi pki subsystem-cert-finde pki subsystem-cert-shownel sistema di certificazione mostrano il numero di serie dei certificati in uscita. Il numero di serie è un'informazione importante e spesso richiesto da molteplici altri comandi. Di conseguenza, l'identificazione del numero di serie di un certificato è ora più semplice.

(BZ#1566360)

I comandi pki usere pki groupsono stati deprecati in Certificate System

Con questo aggiornamento, i nuovi pki <subsystem>-usercomandi e pki <subsystem>-groupi comandi sostituiscono i comandi pki usere pki groupin Sistema Certificato. I comandi sostituiti funzionano ancora, ma visualizzano il messaggio che il comando è deprecato e si riferiscono ai nuovi comandi.

(BZ#1394069)

Certificate System supporta ora il rinnovo offline dei certificati di sistema

Con questo miglioramento, gli amministratori possono utilizzare la funzione di rinnovo offline per rinnovare i certificati di sistema configurati in Certificate System. Quando un certificato di sistema scade, il sistema di certificazione non si avvia. Come risultato del miglioramento, gli amministratori non hanno più bisogno di soluzioni alternative per sostituire un certificato di sistema scaduto.

(BZ#1669257)

Certificate System può ora creare CSR con estensione SKI per la firma di CA esterna

Con questo miglioramento, Certificate System supporta la creazione di una richiesta di firma del certificato (CSR) con l'estensione Subject Key Identifier (SKI) per la firma dell'autorità di certificazione esterna (CA). Alcune autorità competenti richiedono tale estensione o con un valore particolare o derivato dalla chiave pubblica delle autorità competenti. Come risultato, gli amministratori possono ora utilizzare il pki_req_skiparametro nel file di configurazione passato all'pkispawnutilità per creare una CSR con estensione SKI.

(BZ#1656856)

Gli utenti locali sono messi in cache da SSSD e serviti attraverso il nss_sssmodulo

In RHEL 8, il demone dei servizi di sicurezza di sistema (SSSD) serve utenti e gruppi da /etc/passwde /etc/groupsfile per impostazione predefinita. Il modulo sssnsswitch precede i file nel /etc/nsswitch.conffile.

Il vantaggio di servire gli utenti locali attraverso SSSD è che il nss_sssmodulo ha una velocità memory-mapped cacheche velocizza le ricerche di Name Service Switch (NSS) rispetto all'accesso al disco e all'apertura dei file su ogni richiesta NSS. In precedenza, il demone Name service cache daemon (nscd) ha contribuito ad accelerare il processo di accesso al disco. Tuttavia, l'uso nscdin parallelo con SSSD è complicato, in quanto sia SSSD e nscdutilizzare la propria cache indipendente. Di conseguenza, l'utilizzo nscdin configurazioni in cui SSSD serve anche utenti da un dominio remoto, ad esempio LDAP o Active Directory, può causare un comportamento imprevedibile.

Con questo aggiornamento, la risoluzione degli utenti e dei gruppi locali è più veloce in RHEL 8. Si noti che l'rootutente non è mai gestito da SSSD, quindi la rootrisoluzione non può essere influenzata da un potenziale bug in SSSD. Si noti anche che se SSSD non è in esecuzione, il nss_sssmodulo gestisce la situazione con grazia, ripiegando per nss_filesevitare problemi. Non è necessario configurare SSSD in alcun modo, il dominio dei file viene aggiunto automaticamente.

(JIRA:RHELPLAN-10439)

KCM sostituisce KEYRING come memoria cache delle credenziali di default

In RHEL 8, la cache delle credenziali di default è il Kerberos Credential Manager (KCM) che è supportato dal sssd-kcmdeamon. KCM supera le limitazioni del KEYRING precedentemente utilizzato, come ad esempio la sua difficoltà di utilizzo in ambienti containerizzati perché non ha un percorso dei nomi, e di visualizzare e gestire le quote.

Con questo aggiornamento, RHEL 8 contiene una cache delle credenziali che è più adatta per ambienti containerizzati e che fornisce una base per costruire più funzionalità nelle versioni future.

(JIRA:RHELPLAN-10440)

Gli utenti di Active Directory possono ora amministrare la gestione delle identità

Con questo aggiornamento, RHEL 8 consente di aggiungere un ID utente per un utente di Active Directory (AD) come membro di un gruppo Identity Management (IdM). Un ID override è un record che descrive l'aspetto di un utente AD specifico o di un gruppo di proprietà all'interno di una specifica vista ID, in questo caso la vista di fiducia predefinita. Come conseguenza dell'aggiornamento, il server IdM LDAP è in grado di applicare all'utente AD le regole di controllo accessi per il gruppo IdM.

Gli utenti AD sono ora in grado di utilizzare le funzioni self service dell'interfaccia utente IdM, ad esempio per caricare le proprie chiavi SSH o modificare i propri dati personali. Un amministratore AD è in grado di amministrare completamente IdM senza avere due diversi account e password. Si noti che attualmente, le funzioni selezionate in IdM potrebbero non essere ancora disponibili per gli utenti AD.

(JIRA:RHELPLAN-10442)

sssctl stampa un rapporto sulle regole HBAC per un dominio IdM

Con questo aggiornamento, l'sssctlutilità del System Security Services Daemon (SSSD) può stampare un report di controllo degli accessi per un dominio IdM (Identity Management). Questa funzione risponde all'esigenza di alcuni ambienti di vedere, per motivi normativi, un elenco di utenti e gruppi che possono accedere a una specifica macchina client. L'esecuzione sssctl access-report domain_namesu un client IdM stampa il sottoinsieme analizzato delle regole HBAC (host-based access control) nel dominio IdM che si applicano alla macchina client.

Si noti che nessun altro fornitore oltre a IdM supporta questa funzione.

(JIRA:RHELPLAN-10443)

I pacchetti di Identity Management sono disponibili come modulo

In RHEL 8, i pacchetti necessari per l'installazione di un server e di un client di Identity Management (IdM) sono forniti come modulo. Il clientflusso è il flusso predefinito del idmmodulo ed è possibile scaricare i pacchetti necessari per installare il client senza abilitare il flusso.

Lo stream del modulo server IdM è chiamato DL1stream. Lo stream contiene profili multipli corrispondenti a diversi tipi di server IdM: server, dns, adtrust, client e default. Per scaricare i pacchetti in un profilo specifico del DL1flusso: . Attivare il flusso. . . Passare ai RPM trasmessi attraverso il flusso. . Esegui il yum module install idm:DL1/profile_namecomando.

(JIRA:RHELPLAN-10438)

Aggiunta la soluzione di registrazione delle sessioni per RHEL 8

Una soluzione di registrazione della sessione è stata aggiunta a Red Hat Enterprise Linux 8 (RHEL 8). Un nuovo tlogpacchetto e il relativo lettore di sessioni della console web consentono di registrare e riprodurre le sessioni del terminale utente. La registrazione può essere configurata per utente o gruppo di utenti tramite il servizio System Security Services Daemon (SSSD). Tutti gli ingressi e le uscite dei terminali vengono catturati e memorizzati in formato testuale in un giornale di sistema. L'input è inattivo di default per motivi di sicurezza per non intercettare password grezze e altre informazioni sensibili.

La soluzione può essere utilizzata per l'auditing delle sessioni utente su sistemi sensibili alla sicurezza. In caso di violazione della sicurezza, le sessioni registrate possono essere esaminate nell'ambito di un'analisi forense. Gli amministratori di sistema sono ora in grado di configurare la registrazione della sessione in locale e visualizzare il risultato dall'interfaccia web console di RHEL 8 o dall'interfaccia a riga di comando utilizzando l'tlog-playutilità.

(JIRA:RHELPLAN-1473)

authselect semplifica la configurazione dell'autenticazione utente

Questo aggiornamento introduce l'utilità che semplifica la configurazione dell'autenticazione utente sugli host RHEL 8, sostituendo l'authconfigutilità. authselectviene fornito con un approccio più sicuro alla gestione dello stack PAM che semplifica le modifiche alla configurazione PAM per gli amministratori di sistema. authselectpuò essere utilizzato per configurare metodi di autenticazione come password, certificati, smart card e impronte digitali. Si noti che authselectnon configura i servizi richiesti per unire domini remoti. Questo compito viene eseguito da strumenti specializzati, come realmdo ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD consente ora di selezionare uno dei diversi dispositivi di autenticazione Smartcard

Con questo aggiornamento, è possibile configurare l'URI PKCS#11 per la selezione dei dispositivi di autenticazione Smartcard.

Per impostazione predefinita, SSSD tenta di rilevare automaticamente un dispositivo per l'autenticazione Smartcard. Se sono collegati più dispositivi, SSSD selezionerà il primo trovato e non è possibile selezionare il dispositivo specifico. Può portare a fallimenti.

Pertanto, è ora possibile configurare una nuova p11_uriopzione per la [pam]sezione di sssd.conf. Questa opzione consente di definire quale dispositivo verrà utilizzato per l'autenticazione Smartcard.

Ad esempio, per selezionare il lettore con lo slot id '2' rilevato dal modulo OpenSC PKCS#11, aggiungere

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

alla [pam]sezione di sssd.conf.

Si prega di vedere man sssd-confper i dettagli.

(BZ#1620123)