Menu Close

4.13. Identity Management

IdM 现在支持新的密码策略选项

在这个版本中,Identity Management(IdM)支持额外的 libpwquality 库选项:

--maxrepeat
指定序列中相同字符的最大数量。
--maxsequence
指定单例字符序列的最大长度 (abcd)。
--dictcheck
检查密码是否为字典里的单词。
--usercheck
检查密码是否包含用户名。

使用 ipa pwpolicy-mod 命令应用这些选项。例如,要将用户名检查应用到 managers 组中用户建议的所有新密码:

*$ ipa pwpolicy-mod --usercheck=True managers*

如果设置了任何新密码策略选项,则密码的最小长度为 6 个字符,无论 --minlength 选项的值为何。新密码策略设置仅应用到新密码。

在使用 RHEL 7 和 RHEL 8 服务器的混合环境中,新的密码策略设置仅在在 RHEL 8.4 及更新版本上运行的服务器中强制实施。如果用户登录到 IdM 客户端,并且 IdM 客户端与在 RHEL 8.3 或更早版本上运行的 IdM 服务器通信,则系统管理员设置的新密码策略要求不会被应用。为确保行为一致,请将所有服务器升级或更新至 RHEL 8.4 及更新的版本。

(JIRA:RHELPLAN-89566)

通过为每个请求添加唯一标识符标签改进了 SSSD 调试日志

因为 SSSD 会异步处理请求,因此由于来自不同请求的消息添加到同一日志文件中,因此无法轻松跟踪后端日志中个别请求的日志条目。为了提高 debug 日志的可读性,现在在日志消息中添加了一个唯一请求标识符(以 RID#<integer> 的形式)。这可让您隔离与单个请求相关的日志,您可以从多个 SSSD 组件跟踪日志文件中的请求。

例如,SSSD 日志文件的输出示例显示了两个不同请求的唯一标识符 RID#3 和 RID#4:

(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_destructor] (0x0400): RID#3 Number of active DP request: 0
(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_reply_std] (0x1000): RID#3 DP Request AccountDomain #3: Returning [Internal Error]: 3,1432158301,GetAccountDomain() not supported
(2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 DP Request Account #4: REQ_TRACE: New request. sssd.nss CID #1 Flags [0x0001].
(2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 Number of active DP request: 1

(JIRA:RHELPLAN-92473)

IdM 现在支持 automemberserver Ansible 模块

在这个版本中,ansible -freeipa 软件包包含 ipaautomemberipaserver 模块:

  • 使用 ipaautomember 模块时,您可以添加、删除和修改自动成员规则和条件。因此,满足条件的未来 IdM 用户和主机将自动分配给 IdM 组。
  • 使用 ipaserver 模块,您可以确保 IdM 拓扑中存在或不存在服务器的各种参数。您还可以确保一个副本是隐藏的或可见的。

(JIRA:RHELPLAN-96640)

IdM 性能基准

在这个版本中,测试了具有 4 个 CPU 和 8GB RAM 的 RHEL 8.5 IdM 服务器,以便同时成功注册 130 个 IdM 客户端。

(JIRA:RHELPLAN-97145)

改进了 SSSD Kerberos 缓存性能

系统安全服务守护进程(SSSD)Kerberos 缓存管理器(KCM)服务现在包含新的 KCM_GET_CRED_LIST。这个增强功能减少了迭代凭证缓存时的输入和输出操作数量,提高了 KCM 的性能。

(BZ#1956388)

SSSD 现在默认日志回溯追踪

在这个版本中,SSSD 将详细的调试日志存储在内存中缓冲区中,并在发生故障时将它们附加到日志文件中。默认情况下,以下错误级别会触发回溯追踪:

  • 级别 0:严重失败
  • 第 1 级:严重故障
  • 第 2 级:严重故障

您可以通过设置 sssd.conf 配置文件对应部分的 debug_level 选项来为每个 SSSD 进程修改此行为:

  • 如果将调试级别设置为 0,则只有级别 0 的事件会触发回溯追踪。
  • 如果将调试级别设置为 1,级别 0 和 1 将触发回溯追踪。
  • 如果您将调试级别设置为 2 或更高,则级别 0 到 2 的事件会触发回溯追踪。

您可以通过在 sssd.conf 的对应部分将 debug_backtrace_enabled 选项设置为 false 来禁用 SSSD 进程的此功能:

[sssd]
debug_backtrace_enabled = true
debug_level=0
...

[nss]
debug_backtrace_enabled = false
...

[domain/idm.example.com]
debug_backtrace_enabled = true
debug_level=2
...

...

(BZ#1949149)

SSSD KCM 现在支持自动续订 ticket 授予票据

在这个版本中,您可以将系统安全服务守护进程(SSSD)KSSD 缓存管理器(KCM)服务配置为自动更新的票据(TGT)存储在身份管理(IdM)服务器上的 KCM 凭证缓存中。只有在达到一半的票据生命周期时才尝试续订。要使用自动续订,必须将 IdM 服务器上的密钥分发中心(KDC)配置为支持可续订的 Kerberos 票据。

您可以通过修改 /etc/sssd/sssd.conf 文件的 [kcm] 部分来启用 TGT 自动续订。例如,您可以将 SSSD 配置为每 60 分钟检查是否重新生成 KCM 存储的 TGT,并在达到 ticket 生命周期的一半时尝试自动续订,方法是在文件中添加以下选项:

[kcm]
tgt_renewal = true
krb5_renew_interval = 60m

另外,您可以将 SSSD 配置为继承 krb5 选项以从现有域继承 krb5 选项:

[kcm]
tgt_renewal = true
tgt_renewal_inherit = domain-name

如需更多信息,请参阅 sssd-kcm man page 中的 续订 部分。

(BZ#1627112)

Samba rebase 到版本 4.14.4

samba 软件包已升级到上游版本 4.14.4,它提供程序错误修正和增强:

  • 在 Active Directory(AD)中发布打印机提高了可靠性,并将其他打印机功能添加到 AD 中发布的信息中。另外,Samba 现在支持 ARM64 架构的 Windows 驱动程序。
  • ctdb isnotrecmaster 命令已被移除。或者,使用 ctdb pnctdb recmaster 命令。
  • 集群的普通数据库(CTDB) ctdb natgw masterslave-only 参数已重命名为 ctdb natgw leader只关注者

在启动 Samba 前备份数据库文件。当 smbdnmbd 或 winbind 服务启动 Samba 时,Samba 会自动更新其 tdb 数据库文件。请注意,红帽不支持降级 tdb 数据库文件。

更新 Samba 后,使用 testparm 实用程序验证 /etc/samba/smb.conf 文件。

有关显著变化的更多信息,请在更新前阅读上游发行注记

(BZ#1944657)

dnaInterval 配置属性现在被支持

在这个版本中,红帽目录服务器支持设置 cn=<_config_entry>,cn=config 条目中的 Distributed Numeric Assignment(cri)插件的 dnaInterval 属性。DNA 插件为指定的属性生成唯一值。在复制环境中,服务器可以共享相同的范围。为避免在不同服务器上出现重叠,您可以设置 dnaInterval 属性来跳过某些值。例如,如果间隔为 3,并且范围中的第一个数字是 1,则该范围中使用的下一个数字为 4,然后是 7,然后是 10

详情请查看 dnaInterval 参数描述。

(BZ#1938239)

目录服务器被 rebase 到版本 1.4.3.27

389-ds-base 软件包已升级到上游版本 1.4.3.27,与之前的版本相比,它提供了一些程序错误修复和增强。如需显著变化的完整列表,请在更新前阅读上游发行注记:

(BZ#1947044)

目录服务器现在支持临时密码

此增强功能使管理员能够在全局和本地密码策略中配置临时密码规则。借助这些规则,您可以配置,当管理员重置用户的密码时,密码是临时的,且仅在特定时间有效,并且仅对指定次数的尝试有效。另外,您可以配置在管理员更改密码时不会直接启动过期时间。因此,目录服务器仅允许用户在有限时间内使用临时密码进行身份验证。用户验证成功后,目录服务器仅允许此用户更改其密码。

(BZ#1626633)

目录服务器提供监控设置,可防止锁定耗尽导致的数据库损坏

在这个版本中,向 cn=b db,cn=config,cn=ldbm database,cn=plugins,cn=config 条目添加 thensslapd-db -locks-monitoring-enable 参数。如果启用(默认),Directory 服务器会中止所有搜索(如果活跃的数据库锁定的数量大于配置的 in nsslapd-db-locks-monitoring-threshold )的百分比阈值。如果遇到问题,管理员可以在 cn=b db,cn=config 条目中的 thensslapd-db-locks 参数中增加数据库 锁定的数量。这可以防止数据崩溃。另外,管理员现在可以设置线程在检查之间休眠的时间间隔,以毫秒为单位。

详情请查看 红帽目录服务器配置、命令和文件参考 中的参数描述。

(BZ#1812286)

目录服务器可以从 retro changelog 数据库排除属性和后缀

此增强为 Directory 服务器添加了 thensslapd-exclude-attrs 和nsslapd-exclude-suffix 参数。您可以在 cn=Retro Changelog 插件,cn=plugins,cn=config 条目中设置这些参数,以从 retro changelog 数据库排除某些属性或后缀。

(BZ#1850664)

目录服务器支持 entryUUID 属性

在这个版本中,Directory 服务器支持 entryUUID 属性与 RFC 4530 兼容。例如,在支持 entryUUID 时,从 OpenLDAP 的迁移变得更加简单。默认情况下,Directory 服务器仅将 entryUUID 属性添加到新条目。要手动将其添加到现有条目中,请使用 dsconf <instance_name> 插件条目uuid 修复命令

(BZ#1944494)

添加了一个新消息,以帮助设置 up nsSSLPersonalitySSL

在以前的版本中,如果 TLS 证书 nickname 与配置参数 nsSSLPersonalitySSL 的值不匹配,则 RHDS 实例无法启动。当客户从以前的实例复制 NSS 数据库或导出证书的数据时,会出现这种不匹配,但忘记相应地设置 then sSSLPersonalitySSL 值。在这个版本中,您可以看到一个附加信息,它可以帮助用户正确设置 up nsSSLPersonalitySSL

(BZ#1895460)