Capítulo 3. Autenticación e interoperatividad

Soporte SSSD para tarjeta inteligente

SSSD ahora soporta tarjetas inteligentes para autenticación local. Con esta funcionalidad, el usuario puede usar una tarjeta inteligente para entrar al sistema mediante una consola de texto o una consola gráfica, como también los servicios locales tales como el servicio sudo. El usuario coloca la tarjeta inteligente en el lector y proporciona el nombre de usuario y el PIN de tarjeta inteligente en el indicador de inicio. Si el certificado en la tarjeta inteligente es verificado, el usuario se habrá autenticado correctamente.
Observe que SSSD no autoriza al usuario de forma concurrente para adquirir un tique de kerberos mediante una tarjeta inteligente. Para obtener un tique kerberos, el usuario aún deberá autenticarse mediante la herramienta kinit.
Para habilitar soporte de tarjeta inteligente en Red Hat Enterprise Linux 6, debe permitir que SSSD le solicite su contraseña, una contraseña de una sola vez (por sus siglas en inglés OTP), o un PIN de tarjeta inteligente al modificar las líneas auth de los archivos de configuración /etc/pam.d/password-auth y /etc/pam.d/system-auth PAM. Para obtener información más detallada, por favor consulte la Guía de administración de identidad: http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards

Autenticación caché en SSSD

Ahora está disponible en SSSD la autenticación con caché sin intento de reconexión, incluso en modo desconectado. La autenticación directa con el servidor de red de forma repetitiva puede ocasionar excesiva latencia de aplicaciones, lo cual puede hacer que el proceso de inicio sea demasiado prolongado.

Para obtener un mejor rendimiento, ahora puede inhabilitar la parte ou=sudoers,$DC del árbol de complemento de compatibilidad de servidor IdM.

El cliente de Administración de identidad (IdM) ahora está disponible para buscar reglas sudo en la parte cn=sudorules,cn=sudo,$DC del árbol LDAP del servidor IdM en lugar del árbol de compatibilidad ou=sudoers,$DC generado por el complemento del Directory Server slapi-nis.
En entornos donde el árbol de compatibilidad no se requiere para otras operaciones, tales como para soporte de clientes de legado, los usuarios pueden inhabilitar la parte del árbol ou=sudoers,$DC. Esta acción permite un mejor rendimiento porque la generación del árbol de compatibilidad mediante slapi-nis consume muchos recursos, especialmente en entornos con un gran número de operaciones de autenticación.

SSSD habilita mapeo UID y GID en clientes individuales

Ahora es posible asociar usuarios a diferentes UID y GID en clientes específicos Red Hat Enterprise Linux , a través de configuración del lado del cliente, mediante SSSD provisto por la herramienta sss_override. Esta posibilidad de lado del cliente puede resolver problemas ocasionados por duplicación de UID y GID o facilitar la transición desde un sistema de legado que anteriormente usaba una asignación de ID diferente.
Observe que las sobrescrituras se almacenan en caché SSSD; al eliminar la caché, también se eliminan las sobrescrituras. Vea la página de manual sss_override(8) para obtener más información sobre esta funcionalidad.

Guardado en caché para operaciones initgroups

La memoria caché rápida SSSD ahora soporta las operaciones de initgroups, lo cual mejora la velocidad del procesamiento de initgroups y el rendimiento de algunas aplicaciones, como por ejemplo, GlusterFS y slapi-nis.

Nuevos paquetes: adcli

Esta actualización agrega los paquetes adcli a Red Hat Enterprise Linux 6. La herramienta adcli permite a los usuarios administrar los objetos de host, usuario y grupos en Active Directory (AD) desde un cliente Red Hat Enterprise Linux 6. La herramienta sirve principalmente para unir un host a un dominio AD y renovar las credenciales del host.
La herramienta adcli reconoce el sitio y no requiere configuración adicional para conectarse a un dominio AD. En clientes que ejecutan el servicio SSSD, adcli puede renovar las credenciales de host regularmente.

SSSD ahora puede renovar de forma automática todas las credenciales de host de los clientes Linux conectados a AD

Algunas herramientas de Windows pueden eliminar los hosts desde Active Directory (AD) cuando la contraseña no ha sido actualizada por un largo periodo de tiempo. Esto se debe a que estas herramientas consideran a dichos clientes como inactivos.
Con esta funcionalidad, la contraseña de host de clientes Linux vinculada a AD se actualiza regularmente, lo cual indica que el cliente aún está en uso. Como resultado, los clientes Red Hat Enterprise Linux vinculados a AD no se eliminan en la situación descrita.

SSSD ahora puede ajustar de forma automática los rangos de ID para clientes AD en entornos con grandes RID.

El mecanismo de asignación de ID incluido en el servicio SSSD, ahora puede fusionar los dominios de rango ID. Anteriormente, si el ID relativo (RID) del dominio de Active Directory (AD) era superior a 200.000, el cual es el tamaño predeterminado del rango ID asignado por SSSD, se requería al administrador para que ajustara manualmente el rango de ID asignado por SSSD para que coincidiera con el RID.
Con esta mejora para los clientes AD con asignación de ID habilitada, el SSSD ajusta automáticamente los rangos de ID en la situación descrita. Como resultado, ya no se requiere el administrador para ajustar manualmente el rango de ID y el mecanismo de mapeo de ID SSSD predeterminado funciona incluso en grandes entornos de AD.

SSSD ahora soporta GPOs desde diferentes controladores de dominio

SSSD ha sido actualizado para objetos de políticas de grupos de soporte (GPO) desde diferentes controladores de dominio.