Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 5. Autenticación e interoperatividad

Soporte para administración central de llaves SSH

Anteriormente, no era posible administrar centralmente el host y las llaves públicas SSH de usuario. Red Hat Enterprise Linux 6.3 incluye como Muestra de tecnología, la administración de llaves públicas SSH para administrar la identidad de servidores . OpenSSH en clientes de administración de identidad se configura de forma automática para usar llaves públicas que se almacenan en el servidor de administración de identidad. Ahora, el host SSH y las identidades de usuario se pueden administrar de forma central en Administración de identidad. BZ#803822n

Asignación de usuario SELinux

Red Hat Enterprise Linux 6.3 introduce la capacidad de controlar el contexto de un usuario SELinux en un sistema remoto. Las reglas de mapas de usuario de SELinux se pueden definir y opcionalmente, asociar con reglas HBAC. Estos mapas definen el contexto que un usuario recibe según el host al que está ingresando y la membresía de grupos. Cuando un usuario ingresa a un host remoto que está configurado para usar SSSD con la Administración de identidad en segundo plano, el contexto de SELinux se establece automáticamente de acuerdo con las reglas de asignación definidas para el usuario. Para obtener mayor información, consulte http://freeipa.org/page/SELinux_user_mapping. Esta funcionalidad se considera como una Muestra de tecnología. BZ#803821

Múltiples métodos de autenticación se requieren para sshd

Ahora, SSH puede configurarse para las múltiples formas de autenticación requeridas (mientras que antes SSH admitía múltiples formas de autenticación, de las cuales solamente una se requería para ingresar); por ejemplo, el ingreso a una máquina con SSH-habilitado requiere el ingreso de una frase de paso y una llave pública. Las opciones RequiredAuthentications1 y RequiredAuthentications2 se pueden configurar en el archivo /etc/ssh/sshd_config para especificar autenticaciones requeridas para ingresar. Por ejemplo:

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
Para obtener mayor información sobre lo mencionado anteriormente /etc/ssh/sshd_config options, consulte la página man de sshd_config. BZ#657378
Soporte de SSSD para guardar en cache el mapa de automontaje

En Red Hat Enterprise Linux 6.3, SSSD incluye una nueva funcionalidad de Muestra de tecnología: soporte para guardar en cache mapas de automontaje. Esta característica proporciona varias ventajas para los entornos que operan con autofs:

  • Los mapas de automontaje guardados en cache facilitan a la máquina cliente las operaciones de montaje incluso cuando el servidor LDAP no está disponible, pero el servidor NFS sí lo está.
  • Cuando el demonio autofs está configurado para buscar mapas de automontaje a través de SSSD, únicamente se debe configurar el archivo individual: /etc/sssd/sssd.conf. Anteriormente, el archivo /etc/sysconfig/autofs tenía que ser configurado para buscar los datos de autofs.
  • El almacenamiento en cache de los mapas de automontaje produce un rápido rendimiento en el cliente y disminuye el tráfico en el servidor LDAP. BZ#761570
Cambio en comportamiento de debug_level de SSSD

SSSD cambió el comportamiento de la opción debug_level en el archivo /etc/sssd/sssd.conf. Anteriormente, era posible establecer la opción debug_level en la sección de configuración [sssd] y el resultado sería que se convertiría en la predeterminada para otras secciones de configuración, a menos que ellas la invaliden explícitamente.

Varios cambios para las funcionalidades de depuración internas necesitaban que la opción debug_level siempre fuera especificada de forma independiente en cada sección del archivo de configuración, en lugar de adquirir la predeterminada de la sección [sssd].
Como resultado, después de actualizar la última versión de SSSD, los usuarios requerían actualizar sus configuraciones para continuar recibiendo registro de depuración en el mismo nivel. Los usuarios que configuran SSSD en una base por máquina, pueden usar una herramienta simple de Python que actualice su configuración existente en una forma compatible. Esto puede realizarse al ejecutar el siguiente comando como root:
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
Esta herramienta hace los siguientes cambios al archivo de configuración: verifica si la opción debug_level fue especificada en la sección [sssd]. Si lo fue, añade ese mismo valor de nivel a cada sección en el archivo sssd.conf para el cual no se especifica debug_level. Si la opción debug_level ya existe de forma explícita en otra sección, no se modificará.
Los usuarios que dependen de herramientas de administración de configuración central, necesitan hacer estos cambios de forma manual en una herramienta apropiada. BZ#753763
Nueva opción ldap_chpass_update_last_change

Una nueva opción, ldap_chpass_update_last_change, ha sido añadida a la configuración SSSD. Si dicha opción está habilitada, SSSD intenta cambiar el atributo de LDAP shadowLastChange a la hora actual. Observe que solamente se relaciona al caso cuando se utiliza la política de contraseña LDAP (encargada generalmente del servidor LDAP), es decir, la operación extendida de LDAP se utiliza para cambiar la contraseña. Observe también que el atributo tiene que ser de escritura para el usuario que está cambiando la contraseña. BZ#739312