Chapitre 3. Authentification et interopérabilité

Prise en charge smart card SSSD

Désormais, SSSD prend en charge les smart cards pour une authentification locale. Avec cette fonctionnalité, l'utilisateur peut utiliser une smart card pour journaliser sur le système à l'aide d'un console basée texte ou graphique, ainsi qu'en utilisant des services locaux, comme le service sudo. L'utilisateur place la smart card dans le lecteur et fournit le nom d'utilisateur et le code PIN de la smart card à l'invite de connexion.Si le certificat de la smart card est vérifié, l'utilisateur est alors authentifié.
Remarquez qu'actuellement, SSSD n'autorise pas à l'utilisateur d'acquérir un ticket Kerberos en utilisant une smart card. Pour obtenir un ticket Kerberos, l'utilisateur doit s'authentifier avec l'utilitaire kinit.
Pour activer le support des cartes à puce dans Red Hat Enterprise Linux 6, vous devez autoriser SSSD à demander un mot de passe à usage unique (OTP) (one-time password), ou d'un CODE en modifiant les lignes auth des fichiers de configuration PAM /etc/pam.d/password-auth et /etc/pam.d/system-auth. Pour obtenir des informations plus détaillées, voir le Guide de gestion des identités : http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards

Authentification du cache sur SSSD

L'authentification du cache sans tentative de reconnexion est désormais disponible sur SSSD même en mode « en ligne ». Une authentification directe sur le serveur réseau de manière répétitive peut causer une latence d'application excessive, ce qui peut rendre le processus assez long.

La partie ou=sudoers,$DC de l'arborescence d'extensions de compatibilité du serveur IdM peut maintenant être désactivée pour améliorer la performance.

Le client IdM peut maintenant consulter les règles sudo dans la partie cn=sudorules,cn=sudo,$DC de l'arborescence LDAP du serveur IdM au lieu de l'arborescence de compatibilité ou=sudoers,$DC générée par l'extension slapi-nis du serveur d'annuaire.
Dans les environnements où l'arborescence de compatibilité n'est pas requise pour certaines autres opérations, comme pour l'ancien support client, les utilisateurs peuvent maintenant désactiver la partie UO = sudoers, $DC de l'arborescence. Cela permet de meilleures performances parce que générer l'arborescence de compatibilité à l'aide de slapi-nis consomme beaucoup de ressources, en particulier dans les environnements avec un grand nombre d'opérations d'authentification.

SSSD autorise le mappage d'UID et de GID sur des clients individuels

Il est désormais possible de mapper des utilisateurs avec un UID et un GID différent sur des clients Red Hat Enterprise Linux spécifiques à travers une configuration côté client en utilisant SSSD, qui est fournir par l'utilitaire sss_override. Cette possibilité d'outrepasser le côté client peut résoudre des problèmes causés par les duplications d'UID et de GID ou faciliter la transition en provenance d'un ancien système qui utilisait un mappage d'ID différent.
Notez que les remplacements sont stockés dans le cache SSSD ; supprimer le cache supprime donc également les remplacements. Voir la page sss_override(8) pour obtenir plus d'informations sur cette fonctionnalité.

Mise en cache des opérations initgroups

Le cache mémoire rapide SSSD prend désormais en charge les opérations initgroups, qui améliore la vitesse de traitement des initgroups, et augmente les performances de certaines applications comme GlusterFS et slapi-nis.

Nouveaux paquets : adcli

Cette mise à jour ajoute les paquets adcli à Red Hat Enterprise Linux 6. L'utilitaire adcli permet aux utilisateurs de gérer l'hôte, l'utilisateur et des objets de groupe à partir d'un client de Red Hat Enterprise Linux 6 dans Active Directory (AD). La principale utilisation de l'utilitaire consiste à relier un hôte à un domaine AD et à renouveler les informations d'identification de l'hôte.
L'utilitaire adcli est sensible au site et ne requiert aucune configuration supplémentaire pour joindre à un domaine AD. Pour les clients qui exécutent le service SSSD, adcli peut renouveler les identifiants de l'hôte de façon régulière.

SSSD est maintenant en mesure de renouveler automatiquement les identifiants d'hôte de clients Linux reliés au AD (Active Directory).

Certains utilitaires de Windows peuvent retirer des hôtes dde l'AD (Active Directory) quand leurs mots de passe n'ont pas été mis à jour pendant un long moment. C'est parce que ces utilitairs considèrent ces client comme étant inactifs.
Avec cette fonctionnalité, le mot de passe de l'hôte des clients Linux reliés à l'AD est régulièrement mis à jour, ce qui indique que le client est toujours actif. De ce fait, les clients de Red Hat Enterprise Linux reliés à l'AD ne sont pas retirés dans la situation décrite.

SSSD peut maintenant ajuster les plages d'ID pour les clients AD dans les environnements ayant de grands RID.

Le mécanisme de mappage d'ID automatique inclus dans le service DSSD est maintenant en mesure de fusionner des domaines de plages d'ID. Auparavant, si l'ID Relative (RID) du domaine Active Directory (AD) était supérieur à 200 000, ce qui est la taille par défaut de la plage d'ID attribuée par DSSD, l'administrateur devait régler manuellement la plage d'ID assignée par DSSD pour qu'elle correspondre au RID.
Avec cette amélioration, pour les clients d'AD avec le mappage d'ID activé, SSSD ajuste automatiquement les plages d'ID dans la situation décrite. Par conséquent, l'administrateur n'est plus nécessaire pour régler la plage d'ID manuellement, et le mécanisme de mappage d'ID SSSD par défaut fonctionne même dans les grands environnements AD.

SSSD prend maintenant en charge des GPO de contrôleurs de domaines différents

SSSD a été mis à jour pour prendre en charge les GPO (Group Policy Objects) de plusieurs contrôleurs de domaines différents.