Chapitre 5. Authentification et interopérabilité

Un certain nombre de fonctionnalités présentées dans Red Hat Enterprise Linux 6.3 sont maintenent totalement prises en charge dans Red Hat Enterprise Linux 6.4. Particulièrement :

Kerberos version 1.10 offre un nouveau type de stockage de cache, DIR:, qui permet à Kerberos de maintenir des TGT (« Ticket Granting Tickets », tickets fournissant des tickets) pour de multiples KDC (« Key Distribution Centers », centres de distribution de clés) simultanément et d'effectuer une sélection automatique (« auto-select ») entre eux lors de négociations avec des ressources reconnaissant Kerberos. Dans Red Hat Enterprise Linux 6.4, SSSD a été amélioré afin de vous permettre de sélectionner le cache DIR: pour les utilisateurs se connectant via SSSD. Cette fonctionnalité est présentée comme un aperçu technologique.

Dans Red Hat Enterprise Linux 6.4, la commande ipa group-add-member vous permet d'ajouter des membres de domaines basés Active Directory à des groupes marqués comme externes dans Identity Management (gestion des identités). Ces membres peuvent être spécifiés par leurs noms en utilisant une syntaxe basée sur UPN ou sur domaine, par exemple AD\UserName ou AD\GroupName ou User@AD.Domain. Lorsque spécifié sous cette forme, les membres sont résolus sur le catalogue global du domaine de confiance basé Active Directory pour obtenir une valeur SID (identifiant de sécurité).

De manière alternative, une valeur SID peut être spécifiée directement. Dans ce cas, la commande ipa group-add-member vérifiera uniquement que le domaine faisant partie de la valeur SID est l'un des domaines de confiance Active Directory. Aucune tentative ne sera entreprise pour vérifier la validité de la valeur SID dans le domaine.

Il est recommandé d'utiliser la syntaxe de nom d'utilisateur ou de groupe pour spécifier les membres externes plutôt que de directement fournir leurs valeurs SID.

La période de validité d'une nouvelle autorité de certificats (ou CA, de l'anglais « Certificate Authority ») est de 10 ans. Le CA fournit un certain nombre de certificats pour ses sous-systèmes (OCSP, journaux d'audit et autres). Les certificats de sous-systèmes sont normalement valides pour 2 ans. Si le certificat expire, le CA ne démarrera pas ou ne fonctionnera pas correctement. Ainsi, dans Red Hat Enterprise Linux 6.4, les serveurs Identity Management sont capables de renouveller les certificats de leurs sous-systèmes. Les certificats des sous-systèmes sont suivis par certmonger, qui tentera automatiquement de renouveller les certificats avant qu'ils n'expirent.

Dans Red Hat Enterprise Linux 6.4, OpenLDAP est automatiquement configuré avec un URI LDAP, un DN de base et un certificat TLS pendant l'installation du client Identity Management. Ceci améliore l'expérience utilisateur lorsque des recherches LDAP sont effectuées sur le serveur Identity Management Directory Server.

Le paquetage python-nss, qui fournit des liaisons Python pour NSS (« Network Security Services ») et NSPR (« Netscape Portable Runtime »), a été mis à jour pour ajouter la prise en charge de PKCS #12.

LDAP sur Red Hat Enterprise Linux 6.4 inclut la prise en charge des recherches persistantes des zones et des enregistrements de leurs ressources. La recherche persistante permet au plugin bind-dyndb-ldap d'être immédiatement informé sur tout changement apporté à une base de données LDAP. Elle réduit aussi l'utilisation de bande passante du réseau requise par les analyses répétées.

Des éléments obsolètes de la base de données RUV (« Replica Update Vector ») peuvent être supprimés avec l'opération CLEANRUV, qui les supprime d'un seul fournisseur ou maître. Red Hat Enterprise Linux 6.4 ajoute une nouvelle opération CLEANALLRUV , qui peut supprimer des données RUV obsolètes de toutes les répliques et qui doit uniquement être exécutée sur un seul maître/fournisseur.

Les bibliothèques samba4 (fournies par le paquetage samba4-libs) ont été mises à niveau à la dernière version en amont pour améliorer l'interopérabilité avec les domaines Active Directory (AD). SSSD utilise maintenant la bibliothèque libndr-krb5pac pour analyser le PAC (« Privilege Attribute Certificate ») fournit par un KDC (« Key Distribution Center ») AD. En outre, diverses améliorations ont été apportées aux services LSA (« Local Security Authority ») et Net Logon afin de permettre la vérification de confiance à partir d'un système Windows. Pour obtenir des informations sur l'introduction de la fonctionnalité Cross Realm Kerberos Trust, qui dépend des paquetages samba4, reportez-vous à la section intitulée « La fonctionnalité Cross Realm Kerberos Trust dans Identity Management ».

Comme la fonctionnalité Cross Realm Kerberos Trust est considérée comme un Aperçu technologique, les composants samba4 sélectionnés sont considérés comme un Aperçu technologique aussi. Pour plus d'informations sur quels paquetages Samba sont considérés comme aperçus technologiques, veuillez vous reporter au Tableau 5.1, « Prise en charge du paquetage Samba4 ».

La fonctionnalité Cross Realm Kerberos Trust fournie par Identity Management est incluse en tant qu'aperçu technologique. Cette fonctionnalité permet de créer une relation de confiance entre Identity Management et un domaine Active Directory. Ceci signifie que les utilisateurs du domaine AD peuvent accéder aux ressources et services du domaine Identity Management avec leurs informations d'identification AD. Aucune donnée ne nécessite d'être synchronisée entre les contrôleurs d'Identity Management et d'Active Directory. Les utilisateurs AD s'authentifient toujours sur le contrôleur du domaine AD et les informations sur les utilisateurs sont recherchées sans avoir besoin d'effectuer une synchronisation.

Cette fonctionnalité est fournie par le paquetage optionnel ipa-server-trust-ad. Ce paquetage dépend de fonctionnalités qui sont uniquement disponibles dans samba4. Comme les paquetages samba4-* sont en conflit avec les paquetages samba-*, tous les paquetages samba-* doivent être supprimés avant que ipa-server-trust-ad puisse être installés.

Lorsque le paquetage ipa-server-trust-ad est installé, la commande ipa-adtrust-install doit être exécutée sur tous les serveurs et répliques d'Identity Management afin d'activer Identity Management pour gérer les confiances. Lorsque ceci est effectué, une confiance peut être établie sur la ligne de commande à l'aide de ipa trust-add ou de l'interface utilisateur web. Pour plus d'informations, veuillez vous reporter à la section Intégration avec Active Directory via les confiances Cross-Realm Kerberos Trusts dans le Guide d'Identity Management sur https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Windows Active Directory (AD) prend en charge les schémas POSIX (RFC 2307 et 2307bis) pour les entrées d'utilisateurs et de groupes. Dans de nombreux cas, AD est utilisé en tant que source autorisée des données d'utilisateurs et de groupes, y compris les attributs POSIX. Avec Red Hat Enterprise Linux 6.4, Directory Server Windows Sync n'ignore plus ces attributs. Les utilisateurs peuvent maintenant synchroniser des attributs POSIX avec Windows Sync entre AD et 389 Directory Server.