Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 2. Autenticación

ca-certificate rebase a versión 2.4

El paquete ca-certificates ha sido actualizado a la versión 2.4, la cual proporciona una serie de correcciones de errores y mejoras de la versión anterior. En particular, ca-certificates ahora contiene las siguientes modificaciones:
Mozilla había retirado la confianza de varias certificaciones CA de legado que contienen llaves RSA de 1024 bits. Esta versión de paquete ca-certificates modifica la lista de Mozilla para mantener de forma continua estos certificados CA de legado confiables. Estas modificaciones se han realizado para garantizar la compatibilidad con implementaciones PKI existentes y con software basado en OpenSSL o GnuTLS.
El paquete ca-certificates ahora incluye el comando ca-legacy, el cual puede utilizarse para inhabilitar las modificaciones de compatibilidad mencionadas. Consulte la página de manual ca-legacy(8) para obtener más información sobre cómo usar el comando.
Se aconseja a los usuarios que piensen hacer modificaciones de legado que consulten en la base de conocimientos el artículo 1413643, el cual proporciona información sobre estas modificaciones y las consecuencias de inhabilitarlas.
Observe que se requiere el uso de almacén CA unificado para poder usar el comando ca-legacy. Consulte la página de manual update-ca-trust(8) para saber cómo habilitar el almacén CA unificado.

Soporte para confianzas unidireccionales

Administración de identidades ahora permite al usuario configurar una confianza unidireccional con el comando ipa trust-add.

openldap rebase a la versión 2.4.40

Los paquetes openldap han sido actualizados a la versión 2.4.40 de la línea de desarrollo principal, la cual ofrece una serie de correcciones y una mejora de la versión anterior. Principalmente, se han agregado reglas de ORDENAMIENTO correspondientes a las descripciones del tipo de atributo ppolicy. Entre las correcciones está que el servidor ya no termina de forma inesperada cuando procesa los registros SRV y se ha agregado la información que faltaba de objectClass, lo cual permite al usuario modificar la configuración front-end a través de medios estándar.

Autenticación caché en SSSD

Ahora está disponible en SSSD la autenticación en caché sin intento de reconexión, incluso en modo desconectado. La autenticación directa del servidor de red de forma repetitiva podía ocasionar excesiva latencia de aplicaciones, lo cual podría hacer que el proceso de inicio fuera demasiado prolongado.

SSSD permite el mapeo de UID y GID sobre clientes individuales

Ahora es posible asociar usuarios a diferentes UID y GID en clientes Red Hat Enterprise Linux específicos, a través de configuración del lado del cliente mediante SSSD. Esta posibilidad de lado del cliente puede resolver problemas ocasionados por duplicación de UID y GID.

SSSD ahora puede negar acceso a SSH a cuentas bloqueadas

Anteriormente, cuando SSSD usaba OpenLDAP como base de datos de autenticación, los usuarios podían autenticarse en el sistema con una llave SSH, incluso si la cuenta de usuario estaba bloqueada. El parámetro ldap_access_order ahora acepta el valor ppolicy, el cual puede negar el acceso a SSH para el usuario en la situación descrita. Para obtener más información sobre el uso de ppolicy, consulte la descripción ldap_access_order en la página de manual sssd-ldap(5).

La herramienta sudo ahora puede verificar el comando checksum

La configuración de la herramienta sudo almacena la suma de verificación del comando o script autorizado. Al volver a ejecutar el comando o el script, la suma de verificación es comparada con la suma de verificación almacenada para chequear si ha habido cambios. Si el comando o binario cambia, la herramienta sudo se rehusará a ejecutar el comando o registrará una advertencia.

Soporte SSSD para tarjeta inteligente

SSSD ahora soporta tarjetas inteligentes para autenticación local. Con esta funcionalidad, el usuario puede usar una tarjeta inteligente para entrar al sistema mediante una consola de texto o una consola gráfica, como también servicios locales tales como el servicio sudo. El usuario coloca la tarjeta inteligente en el lector y proporciona el nombre de usuario y el PIN de tarjeta inteligente en el indicador de inicio. Si el certificado en la tarjeta inteligente es verificado, el usuario se habrá autenticado correctamente.
Observe que SSSD no autoriza al usuario de forma concurrente para adquirir un tique de kerberos mediante una tarjeta inteligente. Para obtener un tique kerberos, el usuario aun debe autenticarse mediante la herramienta kinit.

Múltiples certificados para soporte de perfiles

El Administrador de identidades ahora soporta múltiples perfiles para otorgar certificados en lugar de ofrecer soporte únicamente de un solo perfil de certificado para un servidor. Los perfiles se almacenan en el Sistema de certificados.

Contraseña Vault

Ha sido agregada una nueva funcionalidad para permitir almacenamiento central seguro de la información privada de usuario, tales como contraseñas y llaves públicas. La contraseña Vault se crea por encima del subsistema de Autoridad de recuperación de llaves (PKI) de la infraestructura de llave pública (PKI).

Soporte DNSSEC en Administración de identidades

Los servidores de Administración de identidades con el DNS integrado ahora soportan Extensiones de seguridad DNS (DNSSEC), una conjunto de extensiones para DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en servidores de Administración de identidades pueden ser firmadas de forma automática con DNSSEC. Las llaves criptográficas se generan y rotan de forma automática.
Se aconseja a los usuarios que decidan proteger sus zonas DNS con DNSSEC que consulten los siguientes documentos:
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
Observe que los servidores de Administración de identidades con DNS integrado usan DNSSEC para validar preguntas DNS obtenidas desde otros servidores DNS. Esto podría afectar la disponibilidad de zonas DNS que no están configuradas según las prácticas de denominación descritas en Red Hat Enterprise Linux Networking Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices

Proxy Kerberos HTTPS en Administración de identidades

En Administración de identidades ahora está disponible una función proxy del Centro de distribución de llaves (KDC), que interopera con la implementación de Microsoft Kerberos KDC Proxy Protocol (MS-KKDCP) y permite a los clientes acceder mediante HTTPS al KDC y a los servicios kpasswd. Los administradores de sistemas ahora pueden exponer, de extremo a extremo, el proxy en su red con una simple reversión del proxy HTTPS sin necesidad de configurar y administrar una aplicación dedicada.

Recarga del fondo de entradas en memoria caché

SSSD ahora permite que las entradas en caché sean actualizadas fuera de banda en segundo plano. Antes de esta actualización, cuando expiraba la validez de las entradas en caché, SSSD las buscaba desde el servidor remoto y las realmacenaba en una base de datos, lo cual consumía mucho tiempo. Gracias a esta actualización, las entradas retornan de forma instantánea porque el segundo plano las mantiene actualizadas en todo momento. Observe que esta acción produce una carga mayor en el servidor porque las descargas SSSD se efectúan periódicamente y no a solicitud.

Almacenamiento en caché para operaciones initgroups

La caché de memoria rápida SSSD ahora soporta las operaciones initgroups, lo cual mejora la velocidad del procesamiento initgroups y mejora el rendimiento de algunas aplicaciones, por ejemplo GlusterFS y slapi-nis.

Negociar autenticación simplificada con mod_auth_gssapi

Administración de identidades ahora usa el módulo mod_auth_gssapi, el cual usa llamadas GSSAPI en lugar de llamadas kerberos directas utilizadas por el módulo mod_auth_kerb utilizado anteriormente.

Funcionalidades de administración de ciclo de vida de usuario

La administración de ciclo de vida de usuario le brinda al administrador un mayor grado de control sobre la activación y desactivación de cuentas de usuarios. El administrador ahora puede aprovisionar nuevas cuentas de usuario agregándolas a una zona de tránsito sin activarlas completamente; activar las cuentas de usuario inactivas, o desactivarlas sin necesidad de borrarlas completamente de la base de datos.
Las funcionalidades de administración de ciclo de vida ofrecen importantes beneficios a un gran número de implementaciones IdM. Observe que los usuarios también pueden ser agregados directamente a la zona de tránsito desde un cliente LDAP estándar, mediante operaciones LDAP directas. Anteriormente, IdM solamente administraba usuarios a través de las herramientas de línea de comandos IdM o la interfaz de usuario web IdM.

Soporte SCEP en certmonger

El servicio certmonger ha sido actualizado para soportar el Protocolo de registro de certificado simple (SCEP). Ahora es posible expedir, renovar o remplazar un certificado por SCEP.

Nuevos paquetes: ipsilon

El paquete ipsilon proporciona servicio de proveedor de identidad Ipsilon para autenticación única (SSO) federada. Ipsilon vincula proveedores de autenticación y aplicaciones o herramientas para permitir autenticación única. Incluye un servidor y herramientas para configurar los proveedores de servicios basados en Apache.
La autenticación de usuario SSO provista para Ipsilon se realiza en un sistema de Administración de identidades, tal como el servidor de Administración de identidades. Ipsilon se comunica con varias aplicaciones y herramientas a través de protocolos de federación, tales como SAML u OpenID.

NSS aumenta los valores de poder mínimos de llaves

La biblioteca de Servicios de Seguridad de Red (NSS) en Red Hat Enterprise Linux 7.2 ya no acepta parámetros de intercambio de llave Diffie-Hellman (DH) de menos de 768 bits, ni certificados RSA y DSA de de menos de 1023 bits. El aumento de los valores de poder mínimos evita el aprovechamiento de vulnerabilidades conocidas como vulnerabilidades Logjam (CVE-2015-4000) y FREAK (CVE-2015-0204).
Observe que ahora fallan los intentos para conectarse a un servidor con llaves más débiles que los nuevos valores mínimos, aunque dichas conexiones funcionaban en versiones anteriores de Red Hat Enterprise Linux.

rebase ss y nss-util a la versión 3.19.1

Los paquetes nss y nss-util han sido actualizados a la versión 3.19.1 de la línea de desarrollo principal, la cual proporciona una serie de correcciones de errores de la versión anterior. En particular, la actualización le permite a los usuarios mejorar Mozilla Firefox 38 Extended Support Release y evita que los atacantes aprovechen la vulnerabilidad de seguridad Logjam CVE-2015-4000.

Módulos Apache para IdM ahora reciben total soporte

Ahora, los siguientes módulos Apache para Administración de identidad (IdM), agregados como muestra de tecnología en Red Hat Enterprise Linux 7.1, son totalmente aceptados: mod_authnz_pam, mod_lookup_identity, and mod_intercept_form_submit. Los módulos Apache pueden utilizarse mediante aplicaciones externas para efectuar una interacción más hermética con IdM superior a la autenticación simple.