Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Kapitel 1. Authentifizierung

Directory Server unterstützt konfigurierbaren, normalisierten DN-Cache

Diese Aktualisierung ermöglicht eine bessere Leistung für Plug-ins wie memberOf und für Operationen, die Einträge mit vielen DN-Syntaxattributen aktualisieren. Der neu implementierte, konfigurierbare, normalisierte DN-Cache steigert die Effizienz des Servers bei der DN-Handhabung.

SSSD zeigt Warnungen zum Passwortablauf an, wenn eine Authentifizierung ohne Passwort verwendet wird

Bislang konnte SSSD die Gültigkeit eines Passworts nur während der Authentifizierungsphase prüfen. Wenn jedoch eine Authentifizierungsmethode ohne Passwort verwendet wurde, wie z. B. während der SSH-Anmeldung, wurde SSSD während der Authentifizierungsphase nicht aufgerufen, sodass keine Prüfung der Passwortgültigkeit erfolgte. Diese Aktualisierung verlegt die Prüfung von der Authentifizierungsphase in die Accountphase. Infolgedessen kann SSSD eine Warnung über abgelaufene Passwörter ausgeben, selbst wenn während der Authentifizierung kein Passwort verwendet wird. Weitere Informationen finden Sie im Deployment Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSD unterstützt Anmeldung mit User Principal Name

Zusätzlich zu Benutzernamen kann SSSD nun auch das User Principal Name (UPN) Attribut zur Identifizierung von Benutzern und Benutzernamen verwenden. Diese Funktionalität steht Benutzern von Active Directory (AD) zur Verfügung. Mit dieser Verbesserung kann die Anmeldung als AD-Benutzer entweder mit dem Benutzernamen und der Domain oder mit dem UPN-Attribut erfolgen.

SSSD unterstützt Aktualisierungen im Hintergrund für gecachte Einträge

SSSD ermöglicht die Aktualisierung gecachter Einträge im Hintergrund. Vor dieser Aktualisierung rief SSSD, wenn die Gültigkeit gecachter Einträge ablief, diese vom entfernten Server ab und speicherte sie erneut in der Datenbank, was zeitaufwendig war. Nach dieser Aktualisierung werden Einträge sofort zurückgegeben, da das Back-End diese laufend aktuell hält. Beachten Sie, dass dies eine höhere Last auf dem Server verursacht, da SSSD die Einträge regelmäßig abruft statt nur bei Bedarf.

Der sudo-Befehl unterstützt mit zlib komprimierte I/O-Protokolle

Der sudo-Befehl ist nun mit zlib-Unterstützung ausgestattet, sodass sudo nun dazu in der Lage ist, komprimierte I/O-Protokolle zu erstellen und zu verarbeiten.

Neues Paket: openscap-scanner

Ein neues Paket, openscap-scanner, steht nun zur Verfügung, um Administratoren die Installation und Verwendung des OpenSCAP Scanners (oscap) zu ermöglichen, ohne alle Abhängigkeiten des openscap-utils-Pakets, welches bislang das Scanner-Tool enthielt, installieren zu müssen. Das separate Paket für den OpenSCAP Scanner verringert die potenziellen Sicherheitsrisiken, die eine Installation unnötiger Abhängigkeiten mit sich bringt. Das openscap-utils-Paket ist nach wie vor verfügbar und enthält verschiedene andere Tools. Benutzern, die lediglich das oscap-Tool benötigen, wird empfohlen, das openscap-utils-Paket zu entfernen und stattdessen das openscap-scanner-Paket zu installieren.

Falls von NSS unterstützt, ist TLS 1.0 oder höher standardmäßig aktiviert

Aufgrund der Sicherheitslücke CVE-2014-3566 sind SSLv3 und ältere Protokollversionen standardmäßig deaktiviert. Der Directory Server akzeptiert nun sicherere SSL-Protokolle wie TLSv1.1 und TLSv1.2 mit den von der NSS-Bibliothek bereitgestellten Versionsbereichen. Sie können auch den SSL-Versionsbereich definieren, der bei der Kommunikation mit Directory-Server-Instanzen von der Konsole verwendet werden soll.

OpenLDAP enthält die pwdChecker-Bibliothek

Diese Aktualisierung führt die OpenLDAP-Erweiterung Check Password ein, indem die OpenLDAP-Bibliothek pwdChecker integriert wurde. Diese Erweiterung ist notwendig für die PCI-Konformität in Red Hat Enterprise Linux 6.

SSSD unterstützt das Überschreiben automatisch erkannter AD-Standorte

Standardmäßig wird der Active Directory (AD) DNS-Standort, mit dem sich die Clients verbinden, automatisch erkannt. Allerdings erkennt die automatische Suche in bestimmten Fällen nicht den besten AD-Standort. In diesen Fällen können Sie den DNS-Standort nun manuell konfigurieren mithilfe des Parameters ad_site im Abschnitt [domain/NAME] der Datei /etc/sssd/sssd.conf. Weitere Informationen über ad_site finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger unterstützt SCEP

Der certmonger-Dienst wurde aktualisiert, um das Simple Certificate Enrollment Protocol (SCEP) zu unterstützen. Für den Abruf von Zertifikaten von Servern können Sie nun die Einschreibung über SCEP anbieten.

Verbesserte Leistung von Löschoperationen in Directory Server

Bislang nahm das rekursive Durchsuchen verschachtelter Gruppen während einer Gruppenlöschoperation eine lange Zeit in Anspruch, wenn es sehr große statische Gruppen gab. Das neue Konfigurationsattribut memberOfSkipNested wurde hinzugefügt, um die Prüfung dieser verschachtelten Gruppen zu überspringen und somit die Leistung dieser Löschoperationen deutlich zu verbessern.

SSSD unterstützt die Benutzermigration von WinSync auf Cross-Realm Trust

Ein neuer ID-Views-Mechanismus zur Benutzerkonfiguration wurde in Red Hat Enterprise Linux 6.7 implementiert. ID Views ermöglichen die Migration von Identity-Management-Benutzern von einer Architektur basierend auf WinSync-Synchronisation, die von Active Directory verwendet wird, auf eine Infrastruktur basierend auf Cross-Realm Trusts. Einzelheiten über ID Views und den Migrationsvorgang finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD unterstützt das Kerberos-Plug-in localauth

Diese Aktualisierung fügt das Kerberos-Plug-in localauth für lokale Authentifizierung hinzu. Das Plug-in gewährleistet, dass Kerberos Principals automatisch lokalen SSSD-Benutzernamen zugeordnet werden. Mit diesem Plug-in ist es nicht länger notwendig, den Parameter auth_to_local in der Datei krb5.conf zu verwenden. Weitere Informationen über das Plug-in finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD unterstützt Zugriff auf angegebene Applikationen ohne Zugriffsrechte auf das System

Die Option domains= wurde zum pam_sss-Modul hinzugefügt, was die Option domains= in der Datei /etc/sssd/sssd.conf außer Kraft setzt. Außerdem wurde die Option pam_trusted_users hinzugefügt, die es dem Benutzer ermöglicht, eine Liste numerischer UIDs oder Benutzernamen hinzuzufügen, die für den SSSD-Daemon als vertrauenswürdig gelten sollen. Darüber hinaus wurde die Option pam_public_domains sowie eine Liste mit Domains hinzugefügt, auf die auch von nicht vertrauenswürdigen Benutzern zugegriffen werden kann. Diese neuen Optionen ermöglichen die Konfiguration von Systemen, auf denen reguläre Benutzer zwar Zugriff auf bestimmte Applikationen haben, jedoch keine Berechtigung zur Anmeldung auf dem System selbst. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD unterstützt konsistente Benutzerumgebungen in AD und IdM

Der SSSD-Dienst kann POSIX-Attribute lesen, die auf einem Active Directory (AD) Server definiert sind, der sich in einer Vertrauensstellung mit Identity Management (IdM) befindet. Durch diese Aktualisierung kann der Administrator ein angepasstes Benutzer-Shell-Attribut vom AD-Server auf einen IdM-Client übertragen. SSSD zeigt das angepasste Attribut dann auf dem IdM-Client an. Diese Aktualisierung ermöglicht die Pflege von konsistenten Umgebungen im gesamten Unternehmen. Beachten Sie, dass das homedir-Attribut auf dem Client derzeit den subdomain_homedir-Wert vom AD-Server anzeigt. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD unterstützt die Anzeige von Gruppen für Benutzer im AD-Trust vor Anmeldung

AD-Benutzer von Domains in einer AD-Gesamtstruktur in einer Vertrauensstellung mit Identity Management (IdM) können jetzt die Gruppenmitgliedschaften noch vor der Anmeldung auflösen. Infolgedessen zeigt das id-Dienstprogramm die Gruppen für diese Benutzer an, ohne dass sich die Benutzer dazu anmelden müssen.

getcert unterstützt das Anfordern von Zertifikaten ohne certmonger

Die Anfrage eines Zertifikats mithilfe des getcert-Dienstprogramms während einer Identity Management (IdM) Client-Kickstart-Einschreibung erfordert nicht länger, dass der certmonger-Dienst ausgeführt wird. Bislang schlug dieser Vorgang fehl, da certmonger nicht lief. Nach dieser Aktualisierung kann getcert in der beschriebenen Situation erfolgreich ein Zertifikat anfordern, vorausgesetzt, der D-Bus-Daemon läuft nicht. Beachten Sie, dass certmonger erst nach einem Neustart damit beginnt, ein Zertifikat zu überwachen, dass auf diese Weise erhalten wurde.

SSSD unterstützt das Bewahren der Groß- und Kleinschreibung von Benutzerkennungen

SSSD unterstützt nun die Werte true, false und preserve für die Option case_sensitive. Wenn der preserve-Wert aktiviert ist, wird bei der Prüfung der Eingabe die Groß- oder Kleinschreibung nicht berücksichtigt, in der Ausgabe entspricht die Groß- oder Kleinschreibung jedoch stets der auf dem Server; SSSD bewahrt die Groß- und Kleinschreibung des UID-Felds wie konfiguriert.

SSSD unterstützt das Verweigern des SSH-Zugriffs für gesperrte Benutzerkonten

Wenn SSSD OpenLDAP als Authentifizierungsdatenbank verwendete, konnten Benutzer sich bislang erfolgreich mit einem SSH-Schlüssel beim System anmelden, selbst nachdem das Benutzerkonto gesperrt wurde. Der Parameter ldap_access_order akzeptiert nun den ppolicy-Wert, der in der beschriebenen Situation einem Benutzer den SSH-Zugriff verweigern kann. Weitere Informationen über die Verwendung von ppolicy finden Sie in der Beschreibung von ldap_access_order auf der man-Seite für sssd-ldap(5).

SSSD unterstützt die Verwendung von GPOs auf AD

SSSD ist nun dazu in der Lage, GPOs (Group Policy Objects), die auf einem AD-Server gespeichert sind, zur Zugriffssteuerung zu verwenden. Diese Verbesserung imitiert die Funktionalität von Windows-Clients und ein einzelnes Regelset zur Zugriffssteuerung kann nun sowohl Windows- als auch Unix-Rechner handhaben. Somit können Windows-Administratoren nun GPOs verwenden, um den Zugriff auf Linux-Clients zu steuern. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html