4.9. 身份管理 (機器翻譯)

Directory Server中的新密碼語法檢查

此增強功能會向Directory Server添加新的密碼語法檢查。例如,管理員現在可以啟用字典檢查,允許或拒絕使用字符序列和回文。因此,如果啟用,Directory Server中的密碼策略語法檢查會強制使用更安全的密碼。

(BZ#1334254)

Directory Server現在提供改進的內部操作日誌記錄支持

Directory Server中的幾個操作由服務器和客戶端啟動,在後台執行其他操作。以前,服務器只記錄內部操作 Internal 連接關鍵字,操作ID始終設置為 -1。通過此增強功能,Directory Server會記錄實際連接和操作ID。您現在可以跟踪導致此操作的服務器或客戶端操作的內部操作。

有關內部操作日誌記錄的更多詳細信息,請參閱鏈接:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations。

(BZ#1358706)

tomcatjss 庫支持使用來自AIA擴展的響應者進行OCSP檢查

有了這個增強, tomcatjss 庫支持使用來自證書的授權信息訪問(AIA)擴展的響應者進行在線證書狀態協議(OCSP)檢查。因此,紅帽證書系統的管理員現在可以配置使用來自AIA擴展的URL的OCSP檢查。

(BZ#1636564)

Directory Server引入了新的命令行實用程序來管理實例

Red Hat Directory Server 11.0引入了 dscreate, ,dsconf, ,和 dsctl 公用事業。這些實用程序使用命令行簡化了對Directory Server的管理。例如,您現在可以使用帶參數的命令來配置功能,而不是將復雜的LDIF語句發送到服務器。

以下是每個實用程序的用途概述:

  • 使用 dscreate 使用交互模式或INF文件創建新Directory Server實例的實用程序。請注意,INF文件格式與安裝程序在以前的Directory Server版本中使用的格式不同。
  • 使用 dsconf 用於在運行時管理Directory Server實例的實用程序。例如,使用 dsconf 至:

    • 配置中的設置 cn=config 條目
    • 配置插件
    • 配置複製
    • 備份和還原實例
  • 使用 dsctl 用於在脫機時管理Directory Server實例的實用程序。例如,使用 dsctl 至:

    • 啟動和停止實例
    • 重新索引服務器數據庫
    • 備份和還原實例

這些實用程序替換Directory Server 10中標記為已棄用的Perl和shell腳本。腳本仍然在不受支持的情況下可用 389-ds-base-legacy-tools 但是,Red Hat僅支持使用新實用程序管理Directory Server。

請注意,仍然支持使用LDIF語句配置Directory Server,但Red Hat建議使用這些實用程序。

有關使用實用程序的更多詳細信息,請參閱 Red Hat Directory Server 11 Documentation

(BZ#1693159)

pki subsystem-cert-findpki subsystem-cert-show 命令現在顯示證書的序列號

有了這個增強, pki subsystem-cert-findpki subsystem-cert-show 證書系統中的命令顯示其輸出中的證書序列號。序列號是一個重要的信息,通常需要多個其他命令。因此,現在可以更輕鬆地識別證書的序列號。

(BZ#1566360)

pki userpki group 證書系統中已棄用命令

有了這個更新,新的 pki <subsystem>-userpki <subsystem>-group 命令取代了 pki userpki group 證書系統中的命令。替換的命令仍然有效,但它們會顯示一條消息,指出該命令已棄用並引用新命令。

(BZ#1394069)

證書系統現在支持系統證書的脫機續訂

通過此增強功能,管理員可以使用脫機續訂功能續訂在證書系統中配置的系統證書。系統證書過期後,證書系統無法啟動。作為增強功能的結果,管理員不再需要解決方法來替換過期的系統證書。

(BZ#1669257)

證書系統現在可以使用SKI擴展創建CSR以進行外部CA簽名

通過此增強功能,證書系統支持使用主題密鑰標識符(SKI)擴展創建證書籤名請求(CSR),以進行外部證書頒發機構(CA)簽名。某些CA要求此擴展具有特定值或從CA公鑰派生。因此,管理員現在可以使用 pki_req_ski 傳遞給配置文件的參數 pkispawn 用於創建具有SKI擴展的CSR的實用程序。

(BZ#1656856)

本地用戶由SSSD緩存並通過 nss_sss

在RHEL 8中,系統安全服務守護程序(SSSD)為用戶和組提供服務 /etc/passwd/etc/groups 默認情況下的文件該 sss nsswitch模塊在文件之前 /etc/nsswitch.conf 文件。

通過SSSD為本地用戶提供服務的優勢在於 nss_sss 模塊有一個快速 memory-mapped cache 與訪問磁盤和打開每個NSS請求上的文件相比,它可以加速名稱服務交換機(NSS)查找。以前,名稱服務緩存守護程序(nscd)幫助加快了訪問磁盤的過程。但是,使用 nscd 與SSSD並行是很麻煩的,因為SSSD和 nscd 使用自己獨立的緩存。因此,使用 nscd 在SSSD也為來自遠程域(例如LDAP或Active Directory)的用戶提供服務的設置中,可能會導致不可預測的行為。

通過此更新,RHEL 8中本地用戶和組的分辨率更快。請注意 root 因此,用戶永遠不會被SSSD處理 root 分辨率不會受到SSSD潛在錯誤的影響。另請注意,如果SSSD未運行,則 nss_sss 模塊通過回退來優雅地處理情況 nss_files 避免問題。您不必以任何方式配置SSSD,自動添加文件域。

(JIRA:RHELPLAN-10439)

KCM將KEYRING替換為默認憑證緩存存儲

在RHEL 8中,默認憑據緩存存儲是Kerberos憑據管理器(KCM),它由 sssd-kcm 守護進程。KCM克服了以前使用的KEYRING的局限性,例如它很難在容器化環境中使用,因為它沒有命名空間,以及查看和管理配額。

通過此更新,RHEL 8包含一個更適合容器化環境的憑據緩存,並為將來版本中構建更多功能提供了基礎。

(JIRA:RHELPLAN-10440)

Active Directory用戶現在可以管理身份管理

通過此更新,RHEL 8允許為Active Directory(AD)用戶添加用戶ID覆蓋,作為Identity Management(IdM)組的成員。ID覆蓋是描述特定ID用戶或組屬性在特定ID視圖中應該是什麼樣的記錄,在本例中為默認信任視圖。作為更新的結果,IdM LDAP服務器能夠將IdM組的訪問控制規則應用於AD用戶。

AD用戶現在可以使用IdM UI的自助服務功能,例如上傳他們的SSH密鑰或更改他們的個人數據。AD管理員無需擁有兩個不同的帳戶和密碼即可完全管理IdM。請注意,目前,IDM中的所選功能可能仍然無法供AD用戶使用。

(JIRA:RHELPLAN-10442)

sssctl 打印IdM域的HBAC規則報告

有了這個更新, sssctl 系統安全服務守護程序(SSSD)的實用程序可以打印身份管理(IdM)域的訪問控制報告。出於監管原因,此功能可滿足某些環境的需要,以查看可以訪問特定客戶端計算機的用戶和組列表。運行 sssctl access-report domain_name 在IdM客戶端上打印應用於客戶端計算機的IdM域中基於主機的訪問控制(HBAC)規則的已解析子集。

請注意,除IdM之外,沒有其他提供商支持此功能。

(JIRA:RHELPLAN-10443)

身份管理包作為模塊提供

在RHEL 8中,安裝Identity Management(IdM)服務器和客戶端所需的軟件包作為模塊提供。該 client stream是默認的流 idm 模塊,您可以下載安裝客戶端所需的軟件包,而無需啟用流。

IdM服務器模塊流稱為 DL1 流。該流包含與不同類型的IdM服務器對應的多個配置文件:server,dns,adtrust,client和default。要下載特定配置文件中的軟件包 DL1 流:。啟用流。 。切換到通過流傳遞的RPM。 。跑過 yum module install idm:DL1/profile_name 命令。

(JIRA:RHELPLAN-10438)

添加了RHEL 8的會話錄製解決方案

Red Hat Enterprise Linux 8(RHEL 8)中添加了會話記錄解決方案。一個新的 tlog 包及其關聯的Web控制台會話播放器使得能夠記錄和回放用戶終端會話。可以通過系統安全服務守護程序(SSSD)服務按用戶或用戶組配置記錄。捕獲所有終端輸入和輸出,並以基於文本的格式存儲在系統日誌中。出於安全原因,默認情況下輸入處於非活動狀態,不會攔截原始密碼和其他敏感信息。

該解決方案可用於審核安全敏感系統上的用戶會話。如果發生安全漏洞,可以將記錄的會話作為取證分析的一部分進行審核。系統管理員現在可以在本地配置會話記錄,並使用RHEL 8 Web控制台界面或命令行界面查看結果。 tlog-play 效用。

(JIRA:RHELPLAN-1473)

authselect 簡化了用戶身份驗證的配置

此更新介紹了 authselect 實用程序,簡化了RHEL 8主機上的用戶身份驗證配置,替換了 authconfig 效用。 authselect 提供了一種更安全的PAM堆棧管理方法,使系統管理員可以更輕鬆地更改PAM配置。 authselect 可用於配置身份驗證方法,如密碼,證書,智能卡和指紋。注意 authselect 不配置加入遠程域所需的服務。此任務由專門的工具執行,例如 realmd 要么 ipa-client-install

(JIRA:RHELPLAN-10445)

SSSD現在允許您選擇多個智能卡身份驗證設備之一

通過此更新,您可以配置PKCS#11 URI以選擇智能卡身份驗證設備。

默認情況下,SSSD會嘗試自動檢測設備以進行智能卡身份驗證。如果連接了多個設備,SSSD將選擇找到的第一個設備,您無法選擇特定設備。它可能導致失敗。

因此,您現在可以配置新的 p11_uri 選項 [pam] 部分 sssd.conf。此選項使您可以定義將用於智能卡身份驗證的設備。

例如,要選擇OpenSC PKCS#11模塊檢測到插槽ID為“2”的閱讀器,請添加

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

到了 [pam] 部分 sssd.conf

請參閱 man sssd-conf 詳情。

(BZ#1620123)