Show Table of Contents
Guardado en caché para operaciones
Capítulo 3. Autenticación e interoperatividad
Soporte SSSD para tarjeta inteligente
SSSD ahora soporta tarjetas inteligentes para autenticación local. Con esta funcionalidad, el usuario puede usar una tarjeta inteligente para entrar al sistema mediante una consola de texto o una consola gráfica, como también los servicios locales tales como el servicio sudo. El usuario coloca la tarjeta inteligente en el lector y proporciona el nombre de usuario y el PIN de tarjeta inteligente en el indicador de inicio. Si el certificado en la tarjeta inteligente es verificado, el usuario se habrá autenticado correctamente.
Observe que SSSD no autoriza al usuario de forma concurrente para adquirir un tique de kerberos mediante una tarjeta inteligente. Para obtener un tique kerberos, el usuario aún deberá autenticarse mediante la herramienta
kinit
.
Para habilitar soporte de tarjeta inteligente en Red Hat Enterprise Linux 6, debe permitir que SSSD le solicite su contraseña, una contraseña de una sola vez (por sus siglas en inglés OTP), o un PIN de tarjeta inteligente al modificar las líneas
auth
de los archivos de configuración /etc/pam.d/password-auth
y /etc/pam.d/system-auth
PAM. Para obtener información más detallada, por favor consulte la Guía de administración de identidad: http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards
Autenticación caché en SSSD
Ahora está disponible en SSSD la autenticación con caché sin intento de reconexión, incluso en modo desconectado. La autenticación directa con el servidor de red de forma repetitiva puede ocasionar excesiva latencia de aplicaciones, lo cual puede hacer que el proceso de inicio sea demasiado prolongado.
Para obtener un mejor rendimiento, ahora puede inhabilitar la parte ou=sudoers,$DC del árbol de complemento de compatibilidad de servidor IdM.
El cliente de Administración de identidad (IdM) ahora está disponible para buscar reglas
sudo
en la parte cn=sudorules,cn=sudo,$DC
del árbol LDAP del servidor IdM en lugar del árbol de compatibilidad ou=sudoers,$DC
generado por el complemento del Directory Server slapi-nis
.
En entornos donde el árbol de compatibilidad no se requiere para otras operaciones, tales como para soporte de clientes de legado, los usuarios pueden inhabilitar la parte del árbol
ou=sudoers,$DC
. Esta acción permite un mejor rendimiento porque la generación del árbol de compatibilidad mediante slapi-nis
consume muchos recursos, especialmente en entornos con un gran número de operaciones de autenticación.
SSSD habilita mapeo UID y GID en clientes individuales
Ahora es posible asociar usuarios a diferentes UID y GID en clientes específicos Red Hat Enterprise Linux , a través de configuración del lado del cliente, mediante SSSD provisto por la herramienta
sss_override
. Esta posibilidad de lado del cliente puede resolver problemas ocasionados por duplicación de UID y GID o facilitar la transición desde un sistema de legado que anteriormente usaba una asignación de ID diferente.
Observe que las sobrescrituras se almacenan en caché SSSD; al eliminar la caché, también se eliminan las sobrescrituras. Vea la página de manual sss_override(8) para obtener más información sobre esta funcionalidad.
Guardado en caché para operaciones initgroups
La memoria caché rápida SSSD ahora soporta las operaciones de
initgroups
, lo cual mejora la velocidad del procesamiento de initgroups
y el rendimiento de algunas aplicaciones, como por ejemplo, GlusterFS y slapi-nis
.
Nuevos paquetes: adcli
Esta actualización agrega los paquetes adcli a Red Hat Enterprise Linux 6. La herramienta
adcli
permite a los usuarios administrar los objetos de host, usuario y grupos en Active Directory (AD) desde un cliente Red Hat Enterprise Linux 6. La herramienta sirve principalmente para unir un host a un dominio AD y renovar las credenciales del host.
La herramienta
adcli
reconoce el sitio y no requiere configuración adicional para conectarse a un dominio AD. En clientes que ejecutan el servicio SSSD, adcli
puede renovar las credenciales de host regularmente.
SSSD ahora puede renovar de forma automática todas las credenciales de host de los clientes Linux conectados a AD
Algunas herramientas de Windows pueden eliminar los hosts desde Active Directory (AD) cuando la contraseña no ha sido actualizada por un largo periodo de tiempo. Esto se debe a que estas herramientas consideran a dichos clientes como inactivos.
Con esta funcionalidad, la contraseña de host de clientes Linux vinculada a AD se actualiza regularmente, lo cual indica que el cliente aún está en uso. Como resultado, los clientes Red Hat Enterprise Linux vinculados a AD no se eliminan en la situación descrita.
SSSD ahora puede ajustar de forma automática los rangos de ID para clientes AD en entornos con grandes RID.
El mecanismo de asignación de ID incluido en el servicio SSSD, ahora puede fusionar los dominios de rango ID. Anteriormente, si el ID relativo (RID) del dominio de Active Directory (AD) era superior a 200.000, el cual es el tamaño predeterminado del rango ID asignado por SSSD, se requería al administrador para que ajustara manualmente el rango de ID asignado por SSSD para que coincidiera con el RID.
Con esta mejora para los clientes AD con asignación de ID habilitada, el SSSD ajusta automáticamente los rangos de ID en la situación descrita. Como resultado, ya no se requiere el administrador para ajustar manualmente el rango de ID y el mecanismo de mapeo de ID SSSD predeterminado funciona incluso en grandes entornos de AD.
SSSD ahora soporta GPOs desde diferentes controladores de dominio
SSSD ha sido actualizado para objetos de políticas de grupos de soporte (GPO) desde diferentes controladores de dominio.