Capitolo 5. Autenticazione ed interoperatibilità

Un certo numero di funzioni introdotte con Red Hat Enterprise Linux 6.3 sono ora completamente supportate in Red Hat Enterprise Linux 6.4. Esse comprendono:

La versione 1.10 di Kerberos rende disponibile un nuovo tipo di storage in cache, DIR:, che permette a Kerberos di mantenere simultaneamente i Ticket Granting Ticket (TGT) per Key Distribution Center (KDC) multipli ed eseguire una selezione automatica tra di essi durante una negoziazione con risorse conformi a kerberos. Con Red Hat Enterprise Linux 6.4, SSSD è stato migliorato ed ora permette di selezionare un cache DIR: per utenti registrati usando SSSD. Questa funzione è stata introdotta come Anteprima di tecnologia.

Con Red Hat Enterprise Linux 6.4 il comando ipa group-add-member permette di aggiungere i membri dei domini fidati basati sull'Active Directory ai gruppi contrassegnati come esterni alla Identity Management. È possibile specificare i suddetti membri in base al nome utilizzando domain- o la sintassi basata su UPN, per esempio AD\UserName o AD\GroupName, o User@AD.Domain. Se specificati con questo formato i membri vengono risolti usando il Global Catalog del dominio fidato basato sulla Active Directory per ottenere il valore del Security Identifier (SID).

Alternativamente è possibile specificare direttamente un valore per il SID. In questo caso il comando ipa group-add-member verificherà solo che la parte del dominio relativo al suddetto valore risulti essere uno dei domini fidati di Active Directory. Non verrà eseguito alcun tentativo di verifica della validità per il SID all'interno del dominio.

È consigliato utilizzare una sintassi per il nome del gruppo o dell'utente per specificare membri esterni al posto di fornire direttamente i rispettivi valori SID.

Il periodo di validità predefinito per un nuovo Certificate Authority è 10 anni. Il CA emette un numero di certificati per i propri sottosistemi ((OCSP, audit log, e altri). I certificati del sottosistema sono generalmente validi per 2 anni. Se i certificati scadono il CA non eseguirà alcun avvio o non sarà in grado di operare correttamente. Per questo motivo con Red Hat Enterprise Linux 6.4 i server di Identity Management sono in grado di rinnovare automaticamente i certificati dei sottosistemi. I certificati sono monitorati da certmonger il quale cercherà di rinnovare automaticamente i certificati prima della loro scadenza.

Con Red Hat Enterprise Linux 6.4, OpenLDAP viene configurato automaticamente con un LDAP URI predefinito, un DN di Base, ed un certificato TLS durante l'installazione del client per Identity Management. Ciò migliorerà l'esperienza dell'utente durante le ricerche LDAP per l'Identity Management Directory Server.

Il pacchetto python-nss, il quale fornisce le associazioni Python per il Network Security Services (NSS) e Netscape Portable Runtime (NSPR), è stato aggiornato ed ora rende disponibile il supporto PKCS #12.

Con Red Hat Enterprise Linux 6.4 LDAP include un supporto per le ricerche persistenti sia per le zone che per le informazioni sulle risorse relative. Questo tipo di ricerca permette al plugin bind-dyndb-ldap di essere informato immediatamente su tutte le modifiche avvenute in un database LDAP. Esso diminuisce altresì l'uso della larghezza di banda necessaria.

Elementi obsoleti in un Database Replica Update Vector (RUV) possono essere rimossi con una operazione CLEANRUV, la quale esegue una rimozione su un distributore singolo o master. Red Hat Enterprise Linux 6.4 rende disponibile una nuova operazione CLEANALLRUV la quale è in grado di rimuovere i dati RUV più vecchi, questa operazione può essere eseguita solo su un distributore/master singoli.

Le librerie samba4 (rese disponibili dal pacchetto samba4-libs) sono state aggiornate all'ultimissima versione, ciò apporta un miglioramento dell'interoperabilità con i domini dell'Active Directory (AD). SSSD utilizza ora la libreria libndr-krb5pac per analizzare il Privilege Attribute Certificate (PAC) emesso da un AD Key Distribution Center (KDC). Sono stati apportati altresì vari miglioramenti al Local Security Authority (LSA) ed ai servizi Net Logon, ed ora è possibile una verifica dei rapporti fidati di un sistema Windows. Per informazioni sulla introduzione della funzionalità Cross Realm Kerberos Trust, la quale dipende dai pacchetti samba4, consultare sezione chiamata «Funzionalità Cross Realm Kerberos Trust in Identity Management».

Poichè la funzionalità Cross Realm Kerberos Trust è considerata una Anteprima di tecnologia, determinati componenti samba4 sono anch'essi considerati Anteprime di tecnologia. Per maggiori informazioni sui pacchetti Samba considerati Anteprima di tecnologia consultare Tabella 5.1, «Supporto pacchetto Samba4».

La funzionalità Cross Realm Kerberos Trust fornita dall'Identity Management è stata inclusa come Anteprima di tecnologia. Questa funzione permette di creare un rapporto di fiducia tra un Identity Management ed un dominio Active Directory. Ciò significa che gli utenti di un dominio AD sono in grado di accedere alle risorse e ai servizi di un dominio Identity Management, usando le proprie credenziali AD. Non sarà necessaria alcuna sincronizzazione dei dati tra i controllori del dominio AD e l'Identity Management; gli utenti dell'AD verranno sempre autenticati usando il controllore del dominio AD e non sarà necessaria alcuna sincronizzazione delle informazioni relative agli utenti.

Questa funzione è resa disponibile dal pacchetto ipa-server-trust-ad. Il pacchetto dipende da funzioni disponibili solo in samba4. Poichè i pacchetti samba4-* entrano in conflitto con i pacchetti samba-* corrispondenti, tutti i pacchetti samba-* devono essere rimossi prima di installare ipa-server-trust-ad.

Dopo l'installazione del pacchetto ipa-server-trust-ad eseguire il comando ipa-adtrust-install su tutti i server Identity Management e le repliche. Così facendo sarà possibile abilitare una gestione dei rapporti di fiducia da parte dell'Identity Management. Successivamente potrete instaurare un rapporto di fiducia utilizzando il comando ipa trust-add o la WebUI. Per maggiori informazioni consultare la sezione Integrazione con l'Active Directory attraverso i Cross-Realm Kerberos Trust disponibile nella Identity Management Guide su https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Windows Active Directory (AD) supporta lo schema POSIX (RFC 2307 e 2307bis) per le voci relative ai gruppi ed utenti. In numerosi casi AD viene usato come sorgente autorevole per dati di utenti e gruppi, incluso gli attributi POSIX. Con Red Hat Enterprise Linux 6.4, la Directory Server Windows Sync non ignora più i suddetti attributi. Gli utenti sono ora in grado di sincronizzare gli attributi POSIX con Windows Sync tra AD e 389 Directory Server.