Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Kapitel 3. Authentifizierung und Interoperabilität

SSSD Smartcard-Support

SSSD unterstützt jetzt Smartcards für lokale Authentifizierung. Mit diesem Feature kann der Benutzer eine Smartcard bei der Systemanmeldung mittels einer textbasierten oder grafischen Konsole verwenden, sowie lokale Dienste wie den sudo-Dienst . Der Benutzer platziert die Smartcard im Reader und gibt bei der Anmeldeaufforderung den Benutzernamen und die Smartcard-PIN ein. Wird das Zertifikat der Smartcard verifiziert, so ist der Benutzer erfolgreich authentifiziert.
Beachten Sie, dass SSSD dem Benutzer derzeit nicht den Erhalt eines Kerberos-Tickets mittels einer Smartcard ermöglicht. Für den Erhalt eines Kerberos-Tickets ist nach wie vor die Authentifizierung mittels des kinit-Dienstprogramms erforderlich.
Um Smartcard Support in Red Hat Enterprise Linux 6 zu aktivieren, müssen Sie SSSD erlauben nach dem Passwort, einem one-time Passwort (OTP) oder der Smartcard PIN zu fragen, indem Sie die auth Zeilen in den /etc/pam.d/password-auth und /etc/pam.d/system-auth PAM Konfigurationsdateien ändern. Ausführliche Informationen finden Sie im Handbuch zur Identitätsverwaltung: http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards

Cache-Authentifizierung in SSSD

Die Authentifizierung beim Cache ohne Wiederverbindungsversuch ist jetzt sogar im Online-Modus in SSSD verfügbar. Die wiederholte Authentifizierung beim Netzwerkserver kann zu einer exzessiven Anwendungslatenz führen und den Anmeldeprozess ausgesprochen zeitaufwending machen.

Man kann jetzt ou=sudoers,$DC in der Hierarchie für IdM Serverkompatibilitäts-Plugins deaktivieren um bessere Leistungen zu erzielen

Der IdM (Identity Management) Client ist jetzt in der Lage sudo Regeln im Teil cn=sudorules,cn=sudo,$DC des LDAP Baums des IdM Servers zu suchen, anstatt im ou=sudoers,$DC Baum für Kompatibilitäten, der vom slapi-nis Directory Server Plugin erstellt wird.
Bei Umgebungen, in denen der Baum für Kompatibilitäten für keine anderen Vorgänge benötigt wird, als für den Support des Legacy-Clients, können die Benutzer jetzt den Teil ou=sudoers,$DC im Baum deaktivieren. Dies ermöglicht bessere Performance, weil die Erstellung des Baumes mittels slapi-nis sehr Ressourcen-intensiv ist, besonders in Umgebungen mit vielen Authentifizierungsvorgängen.

SSSD aktiviert UID- und GID-Mapping an individuellen Clients

Es ist jetzt möglich, Benutzer einer unterschiedlichen UID und GID bei bestimmten Red Hat Enterprise Linux Clients durch Konfiguration auf Clientseite zuzuordnen, indem durch das Dienstprogramm sss_override bereitgestellte SSSD verwendet wird. Diese Möglichkeit der clientseitigen Außerkraftsetzung kann durch UID- und GID-Duplizierung verursachte Probleme beheben.
Beachten Sie, dass die Außerkraftsetzungen im SSSD Cache gespeichert werden; entfernt man das Cache, so entfernt man folglich auch die Außerkraftsetzungen. Weitere Details zu dieser Funktion finden Sie auf der sss_override(8) man-Seite.

Caching für initgroups-Vorgänge

Das SSSD Fast Memory Cache unterstützt jetzt initgroups-Vorgänge, was die Geschwindigkeit von initgroups-Verarbeitung, sowie die Leistung mancher Anwendungen wie GlusterFS und slapi-nis verbessert.

Neue Pakete: adcli

Dieses Update fügt das adcli-Paket zu Red Hat Enterprise Linux 6 hinzu. Das Dienstprogramm adcli ermöglicht den Benutzern Host-, Benutzer- und Gruppenobjekte im Active Directory (AD) von einem Red Hat Enterprise Linux 6 Client aus zu verwalten. Das Dienstprogramm wird hauptsächlich eingesetzt, um einen Host mit einer AD Domain zu verbinden und die Zugangsdaten des Hosts zu erneuern.
Das adcli-Dienstprogramm ist standortabhängig und erfordert keine zusätzlichen Konfigurationen, um mit einer AD-Domain verbunden zu werden. Auf Clients, die den SSSD-Dienst ausführen, kann adcli die Host-Zugangsdaten regelmäßig erneuern.

SSSD kann jetzt die Host-Zugangsdaten eines mit AD verbundenen Linux Clients automatisch erneuern

Bestimmte Dienstprogramme von Windows können Hosts aus dem Active Directory (AD) entfernen, nachdem ihr Passwort für längere Zeit nicht aktualisiert wurde. Das liegt daran, dass diese Dienstprogramme solche Clients als inaktiv einstufen.
Mit dieser Funktion wird das Host-Passwort von Linux Clients, die mit dem AD verbunden sind, regelmäßig aktualisiert, wodurch signalisiert wird, dass der Client noch aktiv ist. Daraus folgt, dass mit dem AD verbundene Red Hat Enterprise Linux Clients in der oben beschriebenen Situation nicht entfernt werden.

SSSD kann jetzt automatisch ID Bereiche für AD Clients in Umgebungen mit großen RIDs anpassen

Der im SSSD-Dienst enthaltene automatische Mechanismus zur ID-Zuordnung kann jetzt Domains im ID-Bereich zusammenführen. Bisher musste der Administrator den von SSSD zugewiesenen ID-Bereich manuell anpassen um der RID zu entsprechen, wenn die relative ID (RID) der Active Directory (AD) Domain größer als 200 000 war, was die Standardgröße des von SSSD zugewiesenen ID-Bereichs ist.
Mit dieser Verbesserung für AD-Clients mit aktivierter ID-Zuordnung passt SSSD die ID-Bereiche in den beschriebenen Situationen automatisch an. Daraus folgt, dass der Administrator den ID-Bereich nicht mehr manuell anpassen muss, und dass der standardmäßige SSSD ID-Zuordnungsmechanismus sogar in großen AD-Umgebungen funktioniert.

SSSD unterstützt jetzt GPOs von verschiedenen Domain-Controllern

SSSD wurde aktualisiert und unterstützt jetzt Gruppenrichtlinienobjekte (Group Policy Objects = GPOs) von verschiedenen Domain-Controllern.