Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Chapitre 5. Authentification et interopérabilité

Fonctionnalités SSSD totalement prises en charge

Un certain nombre de fonctionnalités présentées dans Red Hat Enterprise Linux 6.3 sont maintenent totalement prises en charge dans Red Hat Enterprise Linux 6.4. Particulièrement :
  • prise en charge de la gestion centrale des clés SSH,
  • mappage de l'utilisateur SELinux,
  • et la prise en charge de la mise en cache de mappages automount.

Nouveau type de stockage de cache SSSD

Kerberos version 1.10 offre un nouveau type de stockage de cache, DIR:, qui permet à Kerberos de maintenir des TGT (« Ticket Granting Tickets », tickets fournissant des tickets) pour de multiples KDC (« Key Distribution Centers », centres de distribution de clés) simultanément et d'effectuer une sélection automatique (« auto-select ») entre eux lors de négociations avec des ressources reconnaissant Kerberos. Dans Red Hat Enterprise Linux 6.4, SSSD a été amélioré afin de vous permettre de sélectionner le cache DIR: pour les utilisateurs se connectant via SSSD. Cette fonctionnalité est présentée comme un aperçu technologique.

Ajout de domaines de confiance basés AD aux groupes externes

Dans Red Hat Enterprise Linux 6.4, la commande ipa group-add-member vous permet d'ajouter des membres de domaines basés Active Directory à des groupes marqués comme externes dans Identity Management (gestion des identités). Ces membres peuvent être spécifiés par leurs noms en utilisant une syntaxe basée sur UPN ou sur domaine, par exemple AD\UserName ou AD\GroupName ou User@AD.Domain. Lorsque spécifié sous cette forme, les membres sont résolus sur le catalogue global du domaine de confiance basé Active Directory pour obtenir une valeur SID (identifiant de sécurité).
De manière alternative, une valeur SID peut être spécifiée directement. Dans ce cas, la commande ipa group-add-member vérifiera uniquement que le domaine faisant partie de la valeur SID est l'un des domaines de confiance Active Directory. Aucune tentative ne sera entreprise pour vérifier la validité de la valeur SID dans le domaine.
Il est recommandé d'utiliser la syntaxe de nom d'utilisateur ou de groupe pour spécifier les membres externes plutôt que de directement fournir leurs valeurs SID.

Renouveller automatiquement (« Auto-renew ») les certificats des sous-systèmes d'Identity Management

La période de validité d'une nouvelle autorité de certificats (ou CA, de l'anglais « Certificate Authority ») est de 10 ans. Le CA fournit un certain nombre de certificats pour ses sous-systèmes (OCSP, journaux d'audit et autres). Les certificats de sous-systèmes sont normalement valides pour 2 ans. Si le certificat expire, le CA ne démarrera pas ou ne fonctionnera pas correctement. Ainsi, dans Red Hat Enterprise Linux 6.4, les serveurs Identity Management sont capables de renouveller les certificats de leurs sous-systèmes. Les certificats des sous-systèmes sont suivis par certmonger, qui tentera automatiquement de renouveller les certificats avant qu'ils n'expirent.

Configuration automatique des outils OpenLDAP Client pour les clients inscrits sur Identity Management

Dans Red Hat Enterprise Linux 6.4, OpenLDAP est automatiquement configuré avec un URI LDAP, un DN de base et un certificat TLS pendant l'installation du client Identity Management. Ceci améliore l'expérience utilisateur lorsque des recherches LDAP sont effectuées sur le serveur Identity Management Directory Server.

Prise en charge PKCS#12 pour python-nss

Le paquetage python-nss, qui fournit des liaisons Python pour NSS (« Network Security Services ») et NSPR (« Netscape Portable Runtime »), a été mis à jour pour ajouter la prise en charge de PKCS #12.

Recherche DNS complète persistante

LDAP sur Red Hat Enterprise Linux 6.4 inclut la prise en charge des recherches persistantes des zones et des enregistrements de leurs ressources. La recherche persistante permet au plugin bind-dyndb-ldap d'être immédiatement informé sur tout changement apporté à une base de données LDAP. Elle réduit aussi l'utilisation de bande passante du réseau requise par les analyses répétées.

Nouvelle opération CLEANALLRUV

Des éléments obsolètes de la base de données RUV (« Replica Update Vector ») peuvent être supprimés avec l'opération CLEANRUV, qui les supprime d'un seul fournisseur ou maître. Red Hat Enterprise Linux 6.4 ajoute une nouvelle opération CLEANALLRUV , qui peut supprimer des données RUV obsolètes de toutes les répliques et qui doit uniquement être exécutée sur un seul maître/fournisseur.

Bibliothèques samba4 mises à jour

Les bibliothèques samba4 (fournies par le paquetage samba4-libs) ont été mises à niveau à la dernière version en amont pour améliorer l'interopérabilité avec les domaines Active Directory (AD). SSSD utilise maintenant la bibliothèque libndr-krb5pac pour analyser le PAC (« Privilege Attribute Certificate ») fournit par un KDC (« Key Distribution Center ») AD. En outre, diverses améliorations ont été apportées aux services LSA (« Local Security Authority ») et Net Logon afin de permettre la vérification de confiance à partir d'un système Windows. Pour obtenir des informations sur l'introduction de la fonctionnalité Cross Realm Kerberos Trust, qui dépend des paquetages samba4, reportez-vous à la section intitulée « La fonctionnalité Cross Realm Kerberos Trust dans Identity Management ».

Avertissement

Si vous effectuez une mise à niveau de Red Hat Enterprise Linux 6.3 à Red Hat Enterprise Linux 6.4 et que Samba est en cours d'utilisation, assurez-vous de désinstaller le paquetage samba4 afin d'éviter des conflits pendant la mise à niveau.
Comme la fonctionnalité Cross Realm Kerberos Trust est considérée comme un Aperçu technologique, les composants samba4 sélectionnés sont considérés comme un Aperçu technologique aussi. Pour plus d'informations sur quels paquetages Samba sont considérés comme aperçus technologiques, veuillez vous reporter au Tableau 5.1, « Prise en charge du paquetage Samba4 ».

Tableau 5.1. Prise en charge du paquetage Samba4

Nom du paquetage Nouveau paquetage dans 6.4 ? Statut de la prise en charge
samba4-libs Non Aperçu technologique, à l'exception de la fonctionnalité requise par OpenChange
samba4-pidl Non Aperçu technologique, à l'exception de la fonctionnalité requise par OpenChange
samba4 Non Aperçu technologique
samba4-client Oui Aperçu technologique
samba4-common Oui Aperçu technologique
samba4-python Oui Aperçu technologique
samba4-winbind Oui Aperçu technologique
samba4-dc Oui Aperçu technologique
samba4-dc-libs Oui Aperçu technologique
samba4-swat Oui Aperçu technologique
samba4-test Oui Aperçu technologique
samba4-winbind-clients Oui Aperçu technologique
samba4-winbind-krb5-locator Oui Aperçu technologique

La fonctionnalité Cross Realm Kerberos Trust dans Identity Management

La fonctionnalité Cross Realm Kerberos Trust fournie par Identity Management est incluse en tant qu'aperçu technologique. Cette fonctionnalité permet de créer une relation de confiance entre Identity Management et un domaine Active Directory. Ceci signifie que les utilisateurs du domaine AD peuvent accéder aux ressources et services du domaine Identity Management avec leurs informations d'identification AD. Aucune donnée ne nécessite d'être synchronisée entre les contrôleurs d'Identity Management et d'Active Directory. Les utilisateurs AD s'authentifient toujours sur le contrôleur du domaine AD et les informations sur les utilisateurs sont recherchées sans avoir besoin d'effectuer une synchronisation.
Cette fonctionnalité est fournie par le paquetage optionnel ipa-server-trust-ad. Ce paquetage dépend de fonctionnalités qui sont uniquement disponibles dans samba4. Comme les paquetages samba4-* sont en conflit avec les paquetages samba-*, tous les paquetages samba-* doivent être supprimés avant que ipa-server-trust-ad puisse être installés.
Lorsque le paquetage ipa-server-trust-ad est installé, la commande ipa-adtrust-install doit être exécutée sur tous les serveurs et répliques d'Identity Management afin d'activer Identity Management pour gérer les confiances. Lorsque ceci est effectué, une confiance peut être établie sur la ligne de commande à l'aide de ipa trust-add ou de l'interface utilisateur web. Pour plus d'informations, veuillez vous reporter à la section Intégration avec Active Directory via les confiances Cross-Realm Kerberos Trusts dans le Guide d'Identity Management sur https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Prise en charge des schémas Posix pour 389 Directory Server

Windows Active Directory (AD) prend en charge les schémas POSIX (RFC 2307 et 2307bis) pour les entrées d'utilisateurs et de groupes. Dans de nombreux cas, AD est utilisé en tant que source autorisée des données d'utilisateurs et de groupes, y compris les attributs POSIX. Avec Red Hat Enterprise Linux 6.4, Directory Server Windows Sync n'ignore plus ces attributs. Les utilisateurs peuvent maintenant synchroniser des attributs POSIX avec Windows Sync entre AD et 389 Directory Server.

Note

Lors de l'ajout de nouvelles entrées d'utilisateurs et de groupes sur Directory Server, les attributs POSIX ne sont plus synchronisés sur AD. L'ajout de nouvelles entrées d'utilisateurs et de groupes sur AD se synchronisera sur Directory Server, et la modification d'attributs sera synchronisée dans les deux sens.