Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 1. Autenticación

El servidor de directorio soporta caché DN normalizado configurable

Esta actualización proporciona mejor rendimiento para complementos como memberOf y para operaciones que actualizan entradas con varios atributos de sintaxis DN. El nuevo caché DN normalizado configurable, hace que el manejo de DN a través del servidor sea más eficiente.

SSSD presenta advertencias de expiración de contraseña cuando se utiliza la autenticación sin contraseña

Antes, SSSD podía verificar únicamente la validez de la contraseña durante la fase de autenticación. Sin embargo, cuando se utilizaba un método de autenticación sin contraseña, como por ejemplo, durante un ingreso SSH, SSSD no era llamado en la fase de autenticación y por lo tanto, no realizaba la verificación de validez de la contraseña. Esta actualización desplaza la verificación de la fase de autenticación a la fase de cuenta. Como resultado SSSD puede producir una advertencia de expiración, incluso cuando no se ha utilizado una contraseña durante la autenticación. Para obtener más información, consulte la Guía de implementación: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html.

SSSD soporta el ingreso con el nombre del usuario principal

Además de los nombres de los usuarios, SSSD ahora puede usar el atributo del nombre principal del usuario (UPN) para identificar usuarios y nombres de cuenta de usuarios. Esta funcionalidad está disponible para usuarios de Active Directory (AD). Con esta mejora, es posible ingresar como usuario AD ya sea con el nombre de usuario y dominio, o con el atributo UPN.

SSSD soporta la actualización en segundo plano para las entradas en caché

SSSD permite que las entradas en caché sean actualizadas fuera de banda en el segundo plano. Antes de esta actualización, cuando la validez de las entradas en caché expiraba, SSSD las buscaba desde un servidor remoto y las almacenaba nuevamente en la base de datos, lo cual tomaba tiempo. Con esta actualización, las entradas retornan al instante porque el back-end las mantiene actualizadas. Observe que esto produce una carga más alta en el servidor, debido a que SSSD descarga periódicamente las entradas y no solo cuando las solicitan.

El comando sudo ahora soporta registros comprimidos de E/S zlib

El comando sudo ahora se construye con el soporte zlib, el cual habilita sudo para generar y procesar registros de E/S comprimidos.

Nuevo paquete: openscap-scanner

El nuevo paquete, openscap-scanner, ahora permite a los administradores instalar y usar el escáner de OpenSCAP (oscap) sin tener que instalar todas las dependencias del paquete openscap-utils, el cual contenía la herramienta de escaneo. El empaquetamiento independiente del escáner OpenSCAP reduce los riesgos de seguridad asociados con las dependencias innecesarias de instalación. El paquete openscap-utils aún está disponible y contiene otras herramientas. Se aconseja a los usuarios que solamente necesitan la herramienta oscap, que retiren el paquete openscap-utils e instalen el paquete openscap-scanner.

Se habilita automáticamente si recibe soporte de NSS, TLS 1.0 o más reciente.

Debido a CVE-2014-3566, SSLv3 las versiones de protocolo anteriores se inhabilitan de forma predeterminada. Directory Server ahora acepta más protocolos seguros SSL, tales como TLSv1.1 y TLSv1.2, en el rango ofrecido por la biblioteca NSS. También puede definir el rango SSL que utilizará la consola para comunicarse con instancias de Directory Server.

OpenLDAP incluye la biblioteca pwdChecker.

Esta actualización introduce la extensión Check Password para OpenLDAP, al incluir la biblioteca OpenLDAP pwdChecker. La extensión se requiere para cumplimiento PCI en Red Hat Enterprise Linux 6.

SSSD soporta la sobrescritura automática del sitio AD descubierto.

El sitio Active Directory (AD) DNS al cual se conecta el cliente se descubre de forma automática. No obstante, en algunas configuraciones, la búsqueda automática predeterminada podría no descubrir el sitio AD más apto. Ahora es posible definir el sitio DNS de forma manual mediante el parámetro ad_site en la sección [domain/NAME] del archivo /etc/sssd/sssd.conf. Para obtener más información sobre ad_site, consulte la Guía de administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html.

certmonger soporta SCEP

El servicio certmonger ha sido actualizado para ofrecer soporte al Protocolo de inscripción de certificado simple (SCEP). Para obtener certificados desde servidores, ahora puede ofrecer inscripción por SCEP.

Mejoras de rendimiento para operaciones de borrado de Directory Server.

Anteriormente, las búsquedas recursivas de grupos anidados durante una operación de borrado de grupos podría tomarse un largo tiempo en completar si había grandes grupos estáticos. El nuevo atributo de configuración memberOfSkipNested ha sido agregado para permitir la verificación de grupos anidados y mejorar así el rendimiento de operaciones de borrado en forma significativa.

SSSD soporta migración de usuarios desde WinSync a Cross-Realm Trust

Se ha implementado el nuevo mecanismo IDViews de configuración de usuario en Red Hat Enterprise Linux 6.7. ID Views permite la migración de usuarios de Administración de identidad desde una arquitectura de sincronización WinSync mediante Active Directory a una infraestructura basada en Cross-Realm Trusts. Para más información sobre ID Views y el procedimiento de migración, consulte la Guía de administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD soporta el ingreso con el complemento de kerberos localauth.

Esta actualización agrega el complemento kerberos localauth para autorización local. El complemento garantiza que los principales de Kerberos se asignen automáticamente a nombres de usuarios locales SSSD. Con este complemento, ya no es necesario usar el parámetro auth_to_local en el archivo krb5.conf. Para más información sobre el complemento, consulte la Guía de administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html.

SSSD soporta el acceso a aplicaciones especificadas sin derechos de ingreso al sistema.

La opción domains= ha sido agregada al módulo pam_sss, el cual sobrescribe la opción domains= en el archivo /etc/sssd/sssd.conf. Esta actualización también agrega la opción pam_trusted_users, la cual permite al usuario agregar una lista de los UID numéricos o nombres de usuarios que son confiables para el demonio SSSD. Además, se ha agregado la opción pam_public_domains y una lista de dominios accesibles incluso para los usuarios no confiables. Estas adiciones permiten configurar el sistema para que los usuarios comunes puedan acceder a aplicaciones especificadas sin necesitar derechos de ingreso al sistema. Para información adicional, consulte la Guía de administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD soporta el entorno de usuario consistente a través de AD e IdM.

El servicio SSSD puede leer atributos POSIX definidos en un servidor Active Directory (AD) que tiene una relación de confianza con el Administrador de identidad (IdM). En esta actualización, el administrador puede transferir un atributo de shell de usuario personalizado desde el servidor AD hasta un cliente IdM. SSSD luego despliega el atributo personalizado en el cliente IdM. Esta actualización permite mantener entornos consistentes a través de toda la empresa. Observe que el atributo homedir en el cliente, despliega el valor subdomain_homedir desde el servidor AD. Para obtener más información, consulte la Guía administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html.

SSSD soporta el despliegue de grupos para usuarios de confianza AD antes de ingresar.

Los usuarios de Active Directory (AD) de dominios de un bosque AD en una relación de confianza con Administración de identidad (idM), ahora pueden resolver membresías de grupo antes de ingresar. Como resultado, la herramienta id despliega los grupos de estos usuarios sin que sea necesaria la identificación por parte del usuario.

getcert soporta la solicitud de certificados sin certmonger

La solicitud de un certificado mediante la herramienta getcert durante la inscripción kickstart de cliente de administración de identidad (IdM) ya no requiere que el servicio certmonger se esté ejecutando. Anteriormente, el intentar hacerlo fallaba, debido a que certmonger no estaba en ejecución. Con esta actualización, getcert puede solicitar un certificado en la situación descrita, con la condición de que el demonio D-Bus no se esté ejecutando. Observe que certmonger empieza a monitorizar el certificado obtenido en esta forma solamente después de reiniciar.

SSSD soporta la preservación de caso de identificadores de usuario.

SSSD ahora soporta los valores true, false y preserve para la opción case_sensitive. Cuando el valor preserve esté activado, la entrada coincide independientemente del caso, pero la salida siempre es la del mismo caso en el servidor; SSSD preserva el caso para el campo UID como está configurado.

SSSD soporta la negación de cuentas bloqueadas de acceso SSH

Anteriormente, cuando SSSD utilizaba OpenLDAP como su base de datos de autenticación, los usuarios podían autenticarse en el sistema con una llave SSH incluso después de que la cuenta de usuario fuera bloqueada. El parámetro ldap_access_order ahora acepta el valor ppolicy, el cual puede negar acceso SSH al usuario en la situación descrita. Para más información sobre cómo usar ppolicy, consulte la descripción ldap_access_order en la página de manual sssd-ldap(5).

SSSD soporta el uso de los GPO en AD.

SSSD ahora puede usar Objetos de políticas de grupos (GPO) almacenados en un servidor Active Directory (AD) para control de acceso. Esta mejora es similar a la funcionalidad de clientes de Windows y las reglas de control de acceso ahora pueden usarse para manejar tanto las máquinas Windows como las Unix. De hecho, los administradores de Windows ahora pueden usar los GPO para controlar el acceso a clientes Linux. Para obtener más información, consulte la Guía administración de identidad: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html.