Red Hat Training

A Red Hat training course is available for RHEL 8

4.9. 身份管理 (机器翻译版本)

Directory Server中的新密码语法检查

此增强功能会向Directory Server添加新的密码语法检查。例如,管理员现在可以启用字典检查,允许或拒绝使用字符序列和回文。因此,如果启用,Directory Server中的密码策略语法检查会强制使用更安全的密码。

(BZ#1334254)

Directory Server现在提供改进的内部操作日志记录支持

Directory Server中的几个操作由服务器和客户端启动,在后台执行其他操作。以前,服务器只记录内部操作 Internal 连接关键字,操作ID始终设置为 -1。通过此增强功能,Directory Server会记录实际连接和操作ID。您现在可以跟踪导致此操作的服务器或客户端操作的内部操作。

有关内部操作日志记录的更多详细信息,请参阅链接:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations。

(BZ#1358706)

tomcatjss 库支持使用来自AIA扩展的响应者进行OCSP检查

有了这个增强, tomcatjss 库支持使用来自证书的授权信息访问(AIA)扩展的响应者进行在线证书状态协议(OCSP)检查。因此,红帽证书系统的管理员现在可以配置使用来自AIA扩展的URL的OCSP检查。

(BZ#1636564)

Directory Server引入了新的命令行实用程序来管理实例

Red Hat Directory Server 11.0引入了 dscreate, ,dsconf, ,和 dsctl 公用事业。这些实用程序使用命令行简化了对Directory Server的管理。例如,您现在可以使用带参数的命令来配置功能,而不是将复杂的LDIF语句发送到服务器。

以下是每个实用程序的用途概述:

  • 使用 dscreate 使用交互模式或INF文件创建新Directory Server实例的实用程序。请注意,INF文件格式与安装程序在以前的Directory Server版本中使用的格式不同。

  • 使用 dsconf 用于在运行时管理Directory Server实例的实用程序。例如,使用 dsconf 至:

    • 配置中的设置 cn=config 条目
    • 配置插件
    • 配置复制
    • 备份和还原实例

  • 使用 dsctl 用于在脱机时管理Directory Server实例的实用程序。例如,使用 dsctl 至:

    • 启动和停止实例
    • 重新索引服务器数据库
    • 备份和还原实例

这些实用程序替换Directory Server 10中标记为已弃用的Perl和shell脚本。脚本仍然在不受支持的情况下可用 389-ds-base-legacy-tools 但是,Red Hat仅支持使用新实用程序管理Directory Server。

请注意,仍然支持使用LDIF语句配置Directory Server,但Red Hat建议使用这些实用程序。

有关使用实用程序的更多详细信息,请参阅 Red Hat Directory Server 11 Documentation

(BZ#1693159)

pki subsystem-cert-findpki subsystem-cert-show 命令现在显示证书的序列号

有了这个增强, pki subsystem-cert-findpki subsystem-cert-show 证书系统中的命令显示其输出中的证书序列号。序列号是一个重要的信息,通常需要多个其他命令。因此,现在可以更轻松地识别证书的序列号。

(BZ#1566360)

pki userpki group 证书系统中已弃用命令

有了这个更新,新的 pki <subsystem>-userpki <subsystem>-group 命令取代了 pki userpki group 证书系统中的命令。替换的命令仍然有效,但它们会显示一条消息,指出该命令已弃用并引用新命令。

(BZ#1394069)

证书系统现在支持系统证书的脱机续订

通过此增强功能,管理员可以使用脱机续订功能续订在证书系统中配置的系统证书。系统证书过期后,证书系统无法启动。作为增强功能的结果,管理员不再需要解决方法来替换过期的系统证书。

(BZ#1669257)

证书系统现在可以使用SKI扩展创建CSR以进行外部CA签名

通过此增强功能,证书系统支持使用主题密钥标识符(SKI)扩展创建证书签名请求(CSR),以进行外部证书颁发机构(CA)签名。某些CA要求此扩展具有特定值或从CA公钥派生。因此,管理员现在可以使用 pki_req_ski 传递给配置文件的参数 pkispawn 用于创建具有SKI扩展的CSR的实用程序。

(BZ#1656856)

本地用户由SSSD缓存并通过 nss_sss

在RHEL 8中,系统安全服务守护程序(SSSD)为用户和组提供服务 /etc/passwd/etc/groups 默认情况下的文件该 sss nsswitch模块在文件之前 /etc/nsswitch.conf 文件。

通过SSSD为本地用户提供服务的优势在于 nss_sss 模块有一个快速 memory-mapped cache 与访问磁盘和打开每个NSS请求上的文件相比,它可以加速名称服务交换机(NSS)查找。以前,名称服务缓存守护程序(nscd)帮助加快了访问磁盘的过程。但是,使用 nscd 与SSSD并行是很麻烦的,因为SSSD和 nscd 使用自己独立的缓存。因此,使用 nscd 在SSSD也为来自远程域(例如LDAP或Active Directory)的用户提供服务的设置中,可能会导致不可预测的行为。

通过此更新,RHEL 8中本地用户和组的分辨率更快。请注意 root 因此,用户永远不会被SSSD处理 root 分辨率不会受到SSSD潜在错误的影响。另请注意,如果SSSD未运行,则 nss_sss 模块通过回退来优雅地处理情况 nss_files 避免问题。您不必以任何方式配置SSSD,自动添加文件域。

(JIRA:RHELPLAN-10439)

KCM将KEYRING替换为默认凭证缓存存储

在RHEL 8中,默认凭据缓存存储是Kerberos凭据管理器(KCM),它由 sssd-kcm 守护进程。KCM克服了以前使用的KEYRING的局限性,例如它很难在容器化环境中使用,因为它没有命名空间,以及查看和管理配额。

通过此更新,RHEL 8包含一个更适合容器化环境的凭据缓存,并为将来版本中构建更多功能提供了基础。

(JIRA:RHELPLAN-10440)

Active Directory用户现在可以管理身份管理

通过此更新,RHEL 8允许为Active Directory(AD)用户添加用户ID覆盖,作为Identity Management(IdM)组的成员。ID覆盖是描述特定ID用户或组属性在特定ID视图中应该是什么样的记录,在本例中为默认信任视图。作为更新的结果,IdM LDAP服务器能够将IdM组的访问控制规则应用于AD用户。

AD用户现在可以使用IdM UI的自助服务功能,例如上传他们的SSH密钥或更改他们的个人数据。AD管理员无需拥有两个不同的帐户和密码即可完全管理IdM。请注意,目前,IDM中的所选功能可能仍然无法供AD用户使用。

(JIRA:RHELPLAN-10442)

sssctl 打印IdM域的HBAC规则报告

有了这个更新, sssctl 系统安全服务守护程序(SSSD)的实用程序可以打印身份管理(IdM)域的访问控制报告。出于监管原因,此功能可满足某些环境的需要,以查看可以访问特定客户端计算机的用户和组列表。运行 sssctl access-report domain_name 在IdM客户端上打印应用于客户端计算机的IdM域中基于主机的访问控制(HBAC)规则的已解析子集。

请注意,除IdM之外,没有其他提供商支持此功能。

(JIRA:RHELPLAN-10443)

身份管理包作为模块提供

在RHEL 8中,安装Identity Management(IdM)服务器和客户端所需的软件包作为模块提供。该 client stream是默认的流 idm 模块,您可以下载安装客户端所需的软件包,而无需启用流。

IdM服务器模块流称为 DL1 流。该流包含与不同类型的IdM服务器对应的多个配置文件:server,dns,adtrust,client和default。要下载特定配置文件中的软件包 DL1 流:。启用流。 。切换到通过流传递的RPM。 。跑过 yum module install idm:DL1/profile_name 命令。

(JIRA:RHELPLAN-10438)

添加了RHEL 8的会话录制解决方案

Red Hat Enterprise Linux 8(RHEL 8)中添加了会话记录解决方案。一个新的 tlog 包及其关联的Web控制台会话播放器使得能够记录和回放用户终端会话。可以通过系统安全服务守护程序(SSSD)服务按用户或用户组配置记录。捕获所有终端输入和输出,并以基于文本的格式存储在系统日志中。出于安全原因,默认情况下输入处于非活动状态,不会拦截原始密码和其他敏感信息。

该解决方案可用于审核安全敏感系统上的用户会话。如果发生安全漏洞,可以将记录的会话作为取证分析的一部分进行审核。系统管理员现在可以在本地配置会话记录,并使用RHEL 8 Web控制台界面或命令行界面查看结果。 tlog-play 效用。

(JIRA:RHELPLAN-1473)

authselect 简化了用户身份验证的配置

此更新介绍了 authselect 实用程序,简化了RHEL 8主机上的用户身份验证配置,替换了 authconfig 效用。 authselect 提供了一种更安全的PAM堆栈管理方法,使系统管理员可以更轻松地更改PAM配置。 authselect 可用于配置身份验证方法,如密码,证书,智能卡和指纹。注意 authselect 不配置加入远程域所需的服务。此任务由专门的工具执行,例如 realmd 要么 ipa-client-install

(JIRA:RHELPLAN-10445)

SSSD现在允许您选择多个智能卡身份验证设备之一

通过此更新,您可以配置PKCS#11 URI以选择智能卡身份验证设备。

默认情况下,SSSD会尝试自动检测设备以进行智能卡身份验证。如果连接了多个设备,SSSD将选择找到的第一个设备,您无法选择特定设备。它可能导致失败。

因此,您现在可以配置新的 p11_uri 选项 [pam] 部分 sssd.conf。此选项使您可以定义将用于智能卡身份验证的设备。

例如,要选择OpenSC PKCS#11模块检测到插槽ID为“2”的阅读器,请添加

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

到了 [pam] 部分 sssd.conf

请参阅 man sssd-conf 详情。

(BZ#1620123)

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。