4.9. 身份管理 (机器翻译版本)
Directory Server中的新密码语法检查
此增强功能会向Directory Server添加新的密码语法检查。例如,管理员现在可以启用字典检查,允许或拒绝使用字符序列和回文。因此,如果启用,Directory Server中的密码策略语法检查会强制使用更安全的密码。
(BZ#1334254)
Directory Server现在提供改进的内部操作日志记录支持
Directory Server中的几个操作由服务器和客户端启动,在后台执行其他操作。以前,服务器只记录内部操作 Internal
连接关键字,操作ID始终设置为 -1
。通过此增强功能,Directory Server会记录实际连接和操作ID。您现在可以跟踪导致此操作的服务器或客户端操作的内部操作。
有关内部操作日志记录的更多详细信息,请参阅链接:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations。
(BZ#1358706)
该 tomcatjss
库支持使用来自AIA扩展的响应者进行OCSP检查
有了这个增强, tomcatjss
库支持使用来自证书的授权信息访问(AIA)扩展的响应者进行在线证书状态协议(OCSP)检查。因此,红帽证书系统的管理员现在可以配置使用来自AIA扩展的URL的OCSP检查。
(BZ#1636564)
Directory Server引入了新的命令行实用程序来管理实例
Red Hat Directory Server 11.0引入了 dscreate
, ,dsconf
, ,和 dsctl
公用事业。这些实用程序使用命令行简化了对Directory Server的管理。例如,您现在可以使用带参数的命令来配置功能,而不是将复杂的LDIF语句发送到服务器。
以下是每个实用程序的用途概述:
-
使用
dscreate
使用交互模式或INF文件创建新Directory Server实例的实用程序。请注意,INF文件格式与安装程序在以前的Directory Server版本中使用的格式不同。 使用
dsconf
用于在运行时管理Directory Server实例的实用程序。例如,使用dsconf
至:-
配置中的设置
cn=config
条目 - 配置插件
- 配置复制
- 备份和还原实例
-
配置中的设置
使用
dsctl
用于在脱机时管理Directory Server实例的实用程序。例如,使用dsctl
至:- 启动和停止实例
- 重新索引服务器数据库
- 备份和还原实例
这些实用程序替换Directory Server 10中标记为已弃用的Perl和shell脚本。脚本仍然在不受支持的情况下可用 389-ds-base-legacy-tools
但是,Red Hat仅支持使用新实用程序管理Directory Server。
请注意,仍然支持使用LDIF语句配置Directory Server,但Red Hat建议使用这些实用程序。
有关使用实用程序的更多详细信息,请参阅 Red Hat Directory Server 11 Documentation。
该 pki subsystem-cert-find
和 pki subsystem-cert-show
命令现在显示证书的序列号
有了这个增强, pki subsystem-cert-find
和 pki subsystem-cert-show
证书系统中的命令显示其输出中的证书序列号。序列号是一个重要的信息,通常需要多个其他命令。因此,现在可以更轻松地识别证书的序列号。
(BZ#1566360)
该 pki user
和 pki group
证书系统中已弃用命令
有了这个更新,新的 pki <subsystem>-user
和 pki <subsystem>-group
命令取代了 pki user
和 pki group
证书系统中的命令。替换的命令仍然有效,但它们会显示一条消息,指出该命令已弃用并引用新命令。
(BZ#1394069)
证书系统现在支持系统证书的脱机续订
通过此增强功能,管理员可以使用脱机续订功能续订在证书系统中配置的系统证书。系统证书过期后,证书系统无法启动。作为增强功能的结果,管理员不再需要解决方法来替换过期的系统证书。
证书系统现在可以使用SKI扩展创建CSR以进行外部CA签名
通过此增强功能,证书系统支持使用主题密钥标识符(SKI)扩展创建证书签名请求(CSR),以进行外部证书颁发机构(CA)签名。某些CA要求此扩展具有特定值或从CA公钥派生。因此,管理员现在可以使用 pki_req_ski
传递给配置文件的参数 pkispawn
用于创建具有SKI扩展的CSR的实用程序。
(BZ#1656856)
本地用户由SSSD缓存并通过 nss_sss
模
在RHEL 8中,系统安全服务守护程序(SSSD)为用户和组提供服务 /etc/passwd
和 /etc/groups
默认情况下的文件该 sss
nsswitch模块在文件之前 /etc/nsswitch.conf
文件。
通过SSSD为本地用户提供服务的优势在于 nss_sss
模块有一个快速 memory-mapped cache
与访问磁盘和打开每个NSS请求上的文件相比,它可以加速名称服务交换机(NSS)查找。以前,名称服务缓存守护程序(nscd
)帮助加快了访问磁盘的过程。但是,使用 nscd
与SSSD并行是很麻烦的,因为SSSD和 nscd
使用自己独立的缓存。因此,使用 nscd
在SSSD也为来自远程域(例如LDAP或Active Directory)的用户提供服务的设置中,可能会导致不可预测的行为。
通过此更新,RHEL 8中本地用户和组的分辨率更快。请注意 root
因此,用户永远不会被SSSD处理 root
分辨率不会受到SSSD潜在错误的影响。另请注意,如果SSSD未运行,则 nss_sss
模块通过回退来优雅地处理情况 nss_files
避免问题。您不必以任何方式配置SSSD,自动添加文件域。
(JIRA:RHELPLAN-10439)
KCM将KEYRING替换为默认凭证缓存存储
在RHEL 8中,默认凭据缓存存储是Kerberos凭据管理器(KCM),它由 sssd-kcm
守护进程。KCM克服了以前使用的KEYRING的局限性,例如它很难在容器化环境中使用,因为它没有命名空间,以及查看和管理配额。
通过此更新,RHEL 8包含一个更适合容器化环境的凭据缓存,并为将来版本中构建更多功能提供了基础。
(JIRA:RHELPLAN-10440)
Active Directory用户现在可以管理身份管理
通过此更新,RHEL 8允许为Active Directory(AD)用户添加用户ID覆盖,作为Identity Management(IdM)组的成员。ID覆盖是描述特定ID用户或组属性在特定ID视图中应该是什么样的记录,在本例中为默认信任视图。作为更新的结果,IdM LDAP服务器能够将IdM组的访问控制规则应用于AD用户。
AD用户现在可以使用IdM UI的自助服务功能,例如上传他们的SSH密钥或更改他们的个人数据。AD管理员无需拥有两个不同的帐户和密码即可完全管理IdM。请注意,目前,IDM中的所选功能可能仍然无法供AD用户使用。
(JIRA:RHELPLAN-10442)
sssctl
打印IdM域的HBAC规则报告
有了这个更新, sssctl
系统安全服务守护程序(SSSD)的实用程序可以打印身份管理(IdM)域的访问控制报告。出于监管原因,此功能可满足某些环境的需要,以查看可以访问特定客户端计算机的用户和组列表。运行 sssctl access-report
domain_name
在IdM客户端上打印应用于客户端计算机的IdM域中基于主机的访问控制(HBAC)规则的已解析子集。
请注意,除IdM之外,没有其他提供商支持此功能。
(JIRA:RHELPLAN-10443)
身份管理包作为模块提供
在RHEL 8中,安装Identity Management(IdM)服务器和客户端所需的软件包作为模块提供。该 client
stream是默认的流 idm
模块,您可以下载安装客户端所需的软件包,而无需启用流。
IdM服务器模块流称为 DL1
流。该流包含与不同类型的IdM服务器对应的多个配置文件:server,dns,adtrust,client和default。要下载特定配置文件中的软件包 DL1
流:。启用流。 。切换到通过流传递的RPM。 。跑过 yum module install idm:DL1/profile_name
命令。
(JIRA:RHELPLAN-10438)
添加了RHEL 8的会话录制解决方案
Red Hat Enterprise Linux 8(RHEL 8)中添加了会话记录解决方案。一个新的 tlog
包及其关联的Web控制台会话播放器使得能够记录和回放用户终端会话。可以通过系统安全服务守护程序(SSSD)服务按用户或用户组配置记录。捕获所有终端输入和输出,并以基于文本的格式存储在系统日志中。出于安全原因,默认情况下输入处于非活动状态,不会拦截原始密码和其他敏感信息。
该解决方案可用于审核安全敏感系统上的用户会话。如果发生安全漏洞,可以将记录的会话作为取证分析的一部分进行审核。系统管理员现在可以在本地配置会话记录,并使用RHEL 8 Web控制台界面或命令行界面查看结果。 tlog-play
效用。
(JIRA:RHELPLAN-1473)
authselect
简化了用户身份验证的配置
此更新介绍了 authselect
实用程序,简化了RHEL 8主机上的用户身份验证配置,替换了 authconfig
效用。 authselect
提供了一种更安全的PAM堆栈管理方法,使系统管理员可以更轻松地更改PAM配置。 authselect
可用于配置身份验证方法,如密码,证书,智能卡和指纹。注意 authselect
不配置加入远程域所需的服务。此任务由专门的工具执行,例如 realmd
要么 ipa-client-install
。
(JIRA:RHELPLAN-10445)
SSSD现在允许您选择多个智能卡身份验证设备之一
通过此更新,您可以配置PKCS#11 URI以选择智能卡身份验证设备。
默认情况下,SSSD会尝试自动检测设备以进行智能卡身份验证。如果连接了多个设备,SSSD将选择找到的第一个设备,您无法选择特定设备。它可能导致失败。
因此,您现在可以配置新的 p11_uri
选项 [pam]
部分 sssd.conf
。此选项使您可以定义将用于智能卡身份验证的设备。
例如,要选择OpenSC PKCS#11模块检测到插槽ID为“2”的阅读器,请添加
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
到了 [pam]
部分 sssd.conf
。
请参阅 man sssd-conf
详情。
(BZ#1620123)
为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。