Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 37 章 认证和互操作性
容器中的 SSSD 现已正式发布
容器中的系统安全服务守护进程(SSSD)作为技术预览提供,允许 Red Hat Enterprise Linux Atomic Host 身份验证子系统连接到 Red Hat Identity Management 和 Microsoft Active Directory 等中央身份提供程序。
要安装此新镜像,请使用 atomic install rhel7/sssd 命令。(BZ#1200143)
使用 AD 和 LDAP sudo 供应商
Active Directory (AD)供应商是用于连接 AD 服务器的后端。从 Red Hat Enterprise Linux 7.2 开始,使用 AD sudo 供应商和 LDAP 提供程序作为技术预览提供。要启用 AD sudo 提供程序,请在
sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。(BZ#1068725)
DNSSEC 在身份管理中作为技术预览提供
带有集成 DNS 的身份管理服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在身份管理服务器上的 DNS 区域可使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
- DNSSEC 实践, 版本 2: http://tools.ietf.org/html/rfc6781#section-2
- 安全域名系统(DNS)部署指南: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC 密钥滚动计时注意事项:
请注意,带有集成 DNS 的身份管理服务器使用 DNSSEC 来验证从其他 DNS 服务器获取的 DNS 回答。这会影响未根据 Red Hat Enterprise Linux 网络指南中描述的推荐命名实践配置的 DNS 区域可用性 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。(BZ#1115294)
用于目录服务器的 nunc Stans 事件框架
添加了一个新的 Nunc Stans 事件框架来处理多个同时连接作为技术预览。框架支持几千个活跃连接,且无性能下降。它默认是禁用的。(BZ#1206301)
支持 secret 作为服务
在这个版本中,在系统安全服务守护进程(SSSD)中添加了响应
secret 作为技术预览。此响应程序允许应用程序使用 Custodia API ,通过 UNIX 套接字与 SSSD 进行通信。这可让 SSSD 将 secret 存储在其本地数据库中,或将其转发到远程 Custodia 服务器。(BZ#1311056)
IdM Web UI 启用智能卡登录
身份管理 JSON-RPC API 作为技术预览
一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。
在 Red Hat Enterprise Linux 7.3 中,IdM API 已改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:
- 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
- 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。
在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。
有关使用 API 的详情,请参考 https://access.redhat.com/articles/2728021 (BZ39)1298286)
