4.9. Управление идентификацией (машинный перевод)

Проверка нового синтаксиса пароля на сервере каталогов

Это усовершенствование добавляет новые проверки синтаксиса паролей на сервер каталогов. Администраторы теперь могут, например, включить проверку словаря, разрешить или запретить использование последовательностей символов и палиндромов. В результате, если этот параметр включен, проверка синтаксиса политики паролей на сервере каталогов обеспечивает более безопасные пароли.

(BZ#1334254)

Сервер каталогов теперь обеспечивает улучшенную поддержку ведения журнала внутренних операций

Некоторые операции на сервере каталогов, инициированные сервером и клиентами, вызывают дополнительные операции в фоновом режиме. Ранее сервер регистрировал только внутренние операции Internal ключевое слово подключения, а идентификатор операции всегда был установлен на -1 Благодаря этому усовершенствованию Directory Server регистрирует реальное соединение и идентификатор операции. Теперь вы можете отследить внутреннюю операцию на сервере или клиентской операции, которая вызвала эту операцию.

Дополнительные сведения о ведении журнала внутренних операций см. По ссылке: https: //access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

tomcatjss библиотека поддерживает проверку OCSP с использованием респондента из расширения AIA

С этим улучшением tomcatjss библиотека поддерживает проверку протокола состояния сертификата в сети (OCSP) с использованием ответчика из расширения сертификата доступа к информации (AIA). В результате администраторы Red Hat Certificate System теперь могут настроить проверку OCSP, которая использует URL-адрес из расширения AIA.

(BZ#1636564)

Сервер каталогов представляет новые утилиты командной строки для управления экземплярами

Red Hat Directory Server 11.0 представляет dscreate, dsconf, а также dsctl коммунальные услуги. Эти утилиты упрощают управление сервером каталогов с помощью командной строки. Например, теперь вы можете использовать команду с параметрами для настройки функции вместо отправки сложных операторов LDIF на сервер.

Ниже приведен обзор назначения каждой утилиты:

  • Использовать dscreate утилита для создания новых экземпляров сервера каталогов с использованием интерактивного режима или файла INF. Обратите внимание, что формат файла INF отличается от того, который установщик использовал в предыдущих версиях Сервера каталогов.
  • Использовать dsconf утилита для управления экземплярами сервера каталогов во время выполнения. Например, используйте dsconf чтобы:

    • Настройте параметры в cn=config запись
    • Настроить плагины
    • Настроить репликацию
    • Резервное копирование и восстановление экземпляра
  • Использовать dsctl утилита для управления экземплярами сервера каталогов, когда они в автономном режиме. Например, используйте dsctl чтобы:

    • Запустить и остановить экземпляр
    • Переиндексировать базу данных сервера
    • Резервное копирование и восстановление экземпляра

Эти утилиты заменяют сценарии Perl и оболочки, помеченные как устаревшие в Directory Server 10. Скрипты все еще доступны в неподдерживаемых 389-ds-base-legacy-tools пакет, однако Red Hat поддерживает управление сервером каталогов только с помощью новых утилит.

Обратите внимание, что настройка сервера каталогов с помощью инструкций LDIF все еще поддерживается, но Red Hat рекомендует использовать утилиты.

Для получения дополнительной информации об использовании утилит см. Red Hat Directory Server 11 Documentation

(BZ#1693159)

pki subsystem-cert-find а также pki subsystem-cert-show Команды теперь показывают серийный номер сертификатов

С этим улучшением pki subsystem-cert-find а также pki subsystem-cert-show Команды в Системе сертификатов показывают серийный номер сертификатов в их выходных данных. Серийный номер является важной частью информации и часто требуется для нескольких других команд. В результате определить серийный номер сертификата теперь проще.

(BZ#1566360)

pki user а также pki group Команды устарели в системе сертификатов

С этим обновлением новый pki <subsystem>-user а также pki <subsystem>-group команды заменяют pki user а также pki group Команды в Системе Сертификации. Замененные команды по-прежнему работают, но они отображают сообщение о том, что команда устарела, и ссылаются на новые команды.

(BZ#1394069)

Система сертификатов теперь поддерживает автономное обновление системных сертификатов.

Благодаря этому усовершенствованию администраторы могут использовать функцию автономного обновления для обновления системных сертификатов, настроенных в системе сертификатов. Когда срок действия системного сертификата истекает, система сертификатов не запускается. В результате усовершенствования администраторам больше не нужны обходные пути для замены устаревшего системного сертификата.

(BZ#1669257)

Система сертификатов теперь может создавать CSR с расширением SKI для подписи внешнего CA

Благодаря этому усовершенствованию Система сертификатов поддерживает создание запроса на подпись сертификата (CSR) с расширением Subject Key Identifier (SKI) для подписи внешнего центра сертификации (CA). Некоторым ЦС требуется это расширение либо с определенным значением, либо из открытого ключа ЦС. В результате администраторы теперь могут использовать pki_req_ski параметр в файле конфигурации передается в pkispawn утилита для создания CSR с расширением SKI.

(BZ#1656856)

Локальные пользователи кэшируются SSSD и обслуживаются через nss_sss модуль

В RHEL 8 демон служб безопасности системы (SSSD) обслуживает пользователей и группы из /etc/passwd а также /etc/groups файлы по умолчанию. sss Модуль nsswitch предшествует файлам в /etc/nsswitch.conf файл.

Преимущество обслуживания локальных пользователей через SSSD состоит в том, что nss_sss модуль имеет быстрый memory-mapped cache это ускоряет поиск NSS по сравнению с доступом к диску и открытием файлов при каждом запросе NSS. Ранее демон кэширования службы имен (nscd) помог ускорить процесс доступа к диску. Однако, используя nscd параллельно с SSSD является громоздким, так как и SSSD, и nscd использовать собственное независимое кеширование. Следовательно, используя nscd в установках, где SSSD также обслуживает пользователей из удаленного домена, например LDAP или Active Directory, может вызвать непредсказуемое поведение.

С этим обновлением разрешение локальных пользователей и групп в RHEL 8 стало быстрее. Обратите внимание, что root пользователь никогда не обрабатывается SSSD, поэтому root На разрешение не может повлиять потенциальная ошибка в SSSD. Также обратите внимание, что если SSSD не работает, nss_sss модуль корректно обрабатывает ситуацию, возвращаясь к nss_files чтобы избежать проблем. Вам не нужно настраивать SSSD каким-либо образом, домен файлов добавляется автоматически.

(JIRA:RHELPLAN-10439)

KCM заменяет KEYRING в качестве хранилища кэша учетных данных по умолчанию

В RHEL 8 хранилищем кэша учетных данных по умолчанию является диспетчер учетных данных Kerberos (KCM), который поддерживается sssd-kcm Deamon. KCM преодолевает ограничения ранее использовавшегося KEYRING, такие как его сложность в использовании в контейнерах, поскольку он не имеет пространства имен, а также для просмотра и управления квотами.

В этом обновлении RHEL 8 содержит кэш учетных данных, который лучше подходит для контейнерных сред и обеспечивает основу для создания дополнительных функций в будущих выпусках.

(JIRA:RHELPLAN-10440)

Пользователи Active Directory теперь могут администрировать Identity Management

В этом обновлении RHEL 8 позволяет добавить переопределение идентификатора пользователя для пользователя Active Directory (AD) в качестве члена группы Identity Management (IdM). Переопределение идентификатора - это запись, описывающая, как должны выглядеть свойства конкретного пользователя или группы AD в определенном представлении идентификатора, в данном случае представлении доверия по умолчанию. В результате обновления сервер LDAP IdM может применять правила контроля доступа для группы IdM к пользователю AD.

Пользователи AD теперь могут использовать функции самообслуживания IdM UI, например, для загрузки своих ключей SSH или изменения своих личных данных. Администратор AD может полностью администрировать IdM, не имея двух разных учетных записей и паролей. Обратите внимание, что в настоящее время выбранные функции в IdM могут быть недоступны для пользователей AD.

(JIRA:RHELPLAN-10442)

sssctl печатает отчет по правилам HBAC для домена IdM

С этим обновлением sssctl утилита System Security Services Daemon (SSSD) может распечатать отчет об управлении доступом для домена Identity Management (IdM). Эта функция отвечает требованиям определенных сред для просмотра по нормативным причинам списка пользователей и групп, которые могут получить доступ к конкретному клиентскому компьютеру. Бег sssctl access-report domain_name на клиенте IdM печатает проанализированное подмножество правил управления доступом на основе хоста (HBAC) в домене IdM, которые применяются к клиентскому компьютеру.

Обратите внимание, что никакие другие поставщики, кроме IdM, не поддерживают эту функцию.

(JIRA:RHELPLAN-10443)

Пакеты Identity Management доступны в виде модуля

В RHEL 8 пакеты, необходимые для установки сервера и клиента Identity Management (IdM), поставляются в виде модуля. client поток является потоком по умолчанию idm модуль, и вы можете скачать пакеты, необходимые для установки клиента, не включая поток.

Поток модуля сервера IdM называется DL1 поток. Поток содержит несколько профилей, соответствующих различным типам серверов IdM: сервер, DNS, Adtrust, клиент и по умолчанию. Для загрузки пакетов в конкретном профиле DL1 поток: . Включить поток. , Переключитесь на RPM, доставленные через поток. , Запустить yum module install idm:DL1/profile_name команда.

(JIRA:RHELPLAN-10438)

Добавлено решение для записи сессии для RHEL 8

Решение для записи сеансов было добавлено в Red Hat Enterprise Linux 8 (RHEL 8). Новый tlog Пакет и связанный с ним проигрыватель сеансов веб-консоли позволяют записывать и воспроизводить сеансы пользовательского терминала. Запись может быть настроена для каждого пользователя или группы пользователей с помощью службы System Security Services Daemon (SSSD). Весь ввод и вывод терминала фиксируется и сохраняется в текстовом формате в системном журнале. Ввод неактивен по умолчанию из соображений безопасности, чтобы не перехватывать необработанные пароли и другую конфиденциальную информацию.

Решение может быть использовано для аудита пользовательских сессий в системах, чувствительных к безопасности. В случае нарушения безопасности записанные сеансы могут быть рассмотрены как часть криминалистического анализа. Системные администраторы теперь могут настраивать запись сеанса локально и просматривать результат через интерфейс веб-консоли RHEL 8 или через интерфейс командной строки, используя tlog-play полезность.

(JIRA:RHELPLAN-1473)

authselect упрощает настройку аутентификации пользователя

Это обновление представляет authselect утилита, которая упрощает настройку аутентификации пользователя на хостах RHEL 8, заменяя authconfig полезность. authselect поставляется с более безопасным подходом к управлению стеком PAM, который упрощает изменения конфигурации PAM для системных администраторов. authselect может использоваться для настройки методов аутентификации, таких как пароли, сертификаты, смарт-карты и отпечатки пальцев. Обратите внимание, что authselect не настраивает службы, необходимые для подключения к удаленным доменам. Эта задача выполняется специализированными инструментами, такими как realmd или же ipa-client-install

(JIRA:RHELPLAN-10445)

SSSD теперь позволяет вам выбрать одно из нескольких устройств аутентификации Smartcard

Это обновление позволяет настроить URI PKCS # 11 для выбора устройств проверки подлинности с помощью смарт-карты.

По умолчанию SSSD пытается автоматически определить устройство для проверки подлинности с помощью смарт-карты. Если подключено несколько устройств, SSSD выберет первое найденное, и вы не сможете выбрать конкретное устройство. Это может привести к сбоям.

Таким образом, теперь вы можете настроить новый p11_uri вариант для [pam] раздел sssd.conf Эта опция позволяет вам определить, какое устройство будет использоваться для аутентификации по смарт-карте.

Например, чтобы выбрать считыватель с идентификатором слота '2', обнаруженным модулем OpenSC PKCS # 11, добавьте

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

к [pam] раздел sssd.conf

Посмотри пожалуйста man sssd-conf для деталей.

(BZ#1620123)