Kapitel 5. Authentifizierung und Interoperabilität

Vollständig unterstützte SSSD-Features

Eine Reihe von Features, die in Red Hat Enterprise Linux 6.3 eingeführt wurden, werden in Red Hat Enterprise Linux 6.4 nunmehr vollständig unterstützt. Insbesondere:
  • Unterstützung für zentrale Verwaltung von SSH-Schlüsseln,
  • SELinux-Benutzerzuordnung,
  • sowie Unterstützung für Automount-Map-Caching.

Neuer SSSD-Cache-Speichertyp

Kerberos-Version 1.10 fügt den neuen Cache-Speichertyp DIR: hinzu, der es Kerberos erlaubt, Ticket Granting Tickets (TGTs) für mehrere Key Distribution Centers (KDCs) simultan zu bewahren und bei der Verhandlung mit Kerberos-fähigen Ressourcen automatisch zwischen diesen auszuwählen. In Red Hat Enterprise Linux 6.4 wurde SSSD verbessert, so dass Sie nun den DIR:-Cache für Benutzer auswählen können, die sich per SSSD anmelden. Dieses Feature wird als Technologievorschau eingeführt.

Hinzufügen von AD-basierten vertrauenswürdigen Domains zu external-Gruppen

In Red Hat Enterprise Linux 6.4 ermöglicht es Ihnen der ipa group-add-member-Befehl, Mitglieder von Active Directory-basierten vertrauenswürdigen Domains zu Gruppen hinzuzufügen, die in der Identitätsverwaltung als external gekennzeichnet sind. Diese Mitglieder können anhand ihres Namens mithilfe von Domain- oder UPN-basierter Syntax spezifiziert werden, z.B. AD\UserName oder AD\GroupName oder User@AD.Domain. Wenn Mitglieder in dieser Form spezifiziert werden, so werden sie anhand des globalen Katalogs der Active Directory-basierten vertrauenswürdigen Domain aufgelöst, um ihren Security Identifier (SID) Wert zu erhalten.
Alternativ kann direkt ein SID-Wert spezifiziert werden. In diesem Fall wird der ipa group-add-member-Befehl nur verifizieren, dass der Domain-Teil des SID-Werts zu einer der vertrauenswürdigen Active Directory Domains gehört. Dagegen wird kein Versuch unternommen, die Gültigkeit der SID innerhalb der Domain zu verifizieren.
Es wird empfohlen, Benutzer- oder Benutzergruppensyntax zur Angabe von externen Mitgliedern zu verwenden, statt deren SID-Werte direkt anzugeben.

Automatische Verlängerung von Zertifikaten im Identity-Management-Untersystem

Die standardmäßige Gültigkeit für eine neue Certificate Authority beträgt 10 Jahre. Die CA gibt eine Reihe von Zertifikaten für ihre Untersysteme (OCSP, Audit-Log u.a.) aus. Untersystemzertifikate sind normalerweise für 2 Jahre gültig. Falls die Zertifikate ablaufen, startet die CA nicht oder funktioniert nicht ordnungsgemäß. Aus diesem Grund sind Identity-Management-Server in Red Hat Enterprise Linux 6.4 dazu in der Lage, automatisch ihre Untersystemzertifikate zu verlängern. Die Untersystemzertifikate werden von certmonger überwacht, der automatisch eine Verlängerung der Zertifikate versucht, bevor diese ablaufen.

Automatische Konfiguration von OpenLDAP-Clienttools auf Clients unter Identity Management

In Red Hat Enterprise Linux 6.4 wird OpenLDAP während der Installation des Identity-Management-Clients automatisch mit der standardmäßigen LDAP-URI, einer Basis-DN und einem TLS-Zertifikat konfiguriert. Dies verbessert die Benutzerfreundlichkeit bei der Durchführung von LDAP-Suchen auf dem Directory Server des Identity Managements.

PKCS#12 Unterstützung für python-nss

Das python-nss-Paket, das Python-Bindings für Network Security Services (NSS) und die Netscape Portable Runtime (NSPR) bereitstellt, wurde aktualisiert, um Unterstützung für PKCS #12 zu implementieren.

Vollständig persistente Suche für DNS

LDAP in Red Hat Enterprise Linux 6.4 enthält Unterstützung für persistente Suchen sowohl nach Zonen als auch nach deren Ressourceneinträgen. Persistente Suchen ermöglichen es dem bind-dyndb-ldap-Plugin, unverzüglich über alle Änderungen in einer LDAP-Datenbank informiert zu sein. Sie verringern darüber hinaus die Netzwerklast durch wiederholte Abrufe.

Neue CLEANALLRUV-Operation

Obsolete Elemente im Replica Update Vector (RUV) der Datenbank können mit der CLEANRUV-Operation entfernt werden, die diese Elemente auf einem einzelnen Anbieter oder Master entfernt. Red Hat Enterprise Linux 6.4 fügt eine neue CLEANALLRUV-Operation hinzu, die obsolete RUV-Daten von allen Kopien entfernt und nur auf einem einzigen Anbieter/Master ausgeführt werden muss.

samba4-Bibliotheken aktualisiert

Die samba4-Bibliotheken (bereitgestellt vom samba4-libs-Paket) wurden auf die neueste Upstream-Version aktualisiert, um die Interoperabilität mit Active Directory (AD) Domains zu verbessern. SSSD verwendet nun die libndr-krb5pac-Bibliothek, um das Privilege Attribute Certificate (PAC) zu verarbeiten, das von einem AD Key Distribution Center (KDC) ausgegeben wird. Darüber hinaus wurden mehrere Verbesserungen an den Local Security Authority (LSA) und Net-Logon-Diensten vorgenommen, um die Vertrauenswürdigkeit von einem Windows-System aus bestätigen zu können. Weitere Informationen über die Einführung der Cross-Realm Kerberos-Trust-Funktionalität, die auf samba4-Paketen beruht, finden Sie in »Cross-Realm Kerberos-Trust-Funktionalität in Identity Management«.

Warnung

Falls Sie von Red Hat Enterprise Linux 6.3 auf Red Hat Enterprise Linux 6.4 aktualisieren und Samba verwenden, stellen Sie sicher, dass Sie zunächst das samba4-Paket deinstallieren, um Konflikte während des Upgrades zu vermeiden.
Die es sich bei der Cross-Realm Kerberos-Trust-Funktionalität um eine Technologievorschau handelt, gelten ausgewählte samba4-Komponenten als Technologievorschau. Weitere Informationen darüber, welche Samba-Pakete als Techologievorschau gelten, finden Sie in Tabelle 5.1, »Samba4-Paketunterstützung«.

Tabelle 5.1. Samba4-Paketunterstützung

Paketname Neues Paket in 6.4? Status
samba4-libs Nein Technologievorschau, mit Ausnahme der für OpenChange notwendigen Funktionalität
samba4-pidl Nein Technologievorschau, mit Ausnahme der für OpenChange notwendigen Funktionalität
samba4 Nein Technologievorschau
samba4-client Ja Technologievorschau
samba4-common Ja Technologievorschau
samba4-python Ja Technologievorschau
samba4-winbind Ja Technologievorschau
samba4-dc Ja Technologievorschau
samba4-dc-libs Ja Technologievorschau
samba4-swat Ja Technologievorschau
samba4-test Ja Technologievorschau
samba4-winbind-clients Ja Technologievorschau
samba4-winbind-krb5-locator Ja Technologievorschau

Cross-Realm Kerberos-Trust-Funktionalität in Identity Management

Die Cross-Realm Kerberos-Trust-Funktionalität im Identity Management ist als Technologievorschau enthalten. Dieses Feature ermöglicht die Erstellung einer Vertrauensbeziehung zwischen einer Identity-Management-Domain und einer Active-Directory-Domain. Das bedeutet, dass Benutzer von der AD-Domain auf Ressourcen und Dienste von der Identity-Management-Domain zugreifen können unter Verwendung ihrer AD-Berechtigungsnachweise. Zwischen den Controllern der Identity-Management-Domain und der AD-Domain müssen keinerlei Daten synchronisiert werden; AD-Benutzer werden immer beim AD-Domain-Controller authentifiziert und Informationen über Benutzer werden abgerufen, ohne dass eine Synchronisation nötig ist.
Dieses Feature wird von dem optionalen ipa-server-trust-ad-Paket bereitgestellt. Dieses Paket basiert auf Features, die nur in samba4 verfügbar sind. Da samba4-*-Pakete mit den entsprechenden samba-*-Paketen kollidieren, müssen zunächst alle samba-*-Pakete entfernt werden, bevor ipa-server-trust-ad installiert werden kann.
Wenn das ipa-server-trust-ad-Paket installiert ist, muss der ipa-adtrust-install-Befehl auf allen Identity-Management-Servern und Kopien ausgeführt werden, um die Handhabung dieser Vertrauensbeziehungen im Identity Management zu aktivieren. Sobald dies erledigt ist, kann per Befehlszeile mithilfe des Befehls ipa trust-add oder per Weboberfläche eine Vertrauensbeziehung eingerichtet werden. Weitere Informationen finden Sie in Abschnitt Integrating with Active Directory Through Cross-Realm Kerberos Trusts im Identity Management Guide unter https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Posix-Schema-Unterstützung für 389 Directory Server

Windows Active Directory (AD) unterstützt das POSIX-Schema (RFC 2307 und 2307bis) für Benutzer- und Gruppeneinträge. In vielen Fällen wird AD als autoritative Quelle für Benutzer- und Gruppendaten einschließlich POSIX-Attributen verwendet. Ab Red Hat Enterprise Linux 6.4 ignoriert der Directory Server Windows-Sync diese Attribute nicht mehr. Benutzer können nun POSIX-Attribute mit Windows-Sync zwischen AD und 389 Directory Server synchronisieren.

Anmerkung

Beim Hinzufügen von neuen Benutzer- und Gruppeneinträgen im Directory Server werden die POSIX-Attribute nicht mit dem AD synchronisiert. Werden dagegen neue Benutzer- und Gruppeneinträge zum AD hinzugefügt, so werden diese mit dem Directory Server synchronisiert, und werden Attribute verändert, so werden diese in beide Richtungen synchronisiert.