Capitolo 1. Autenticazione

Directory Server supporta il cache DN normalizzato configurabile

Questo aggiornamento permette di avere migliori prestazioni per i plug-in, ad esempio memberOf, e per le operazioni relative all'aggiornamento dele voci contenenti numerosi attributi della sintassi DN. La nuova cache DN normalizzata e configurabile, migliora la gestione del DN da parte dei server.

SSSD mostra gli avvisi relativi alla scadenza delle password se si utilizza un metodo di autenticazione senza password

In precedenza SSSD era in grado di verificare la validità della password solo durante la fase di autenticazione. Tuttavia con un metodo di autenticazione sprovvisto di password, come ad esempio durante un accesso SSH, non veniva richiesto l'uso di SSSD nella fasi di autenticazione, pertanto non era possibile eseguire alcuna verifica. Con questo aggiornamento tale verifica viene spostata dalla fase di autenticazione alla fase di verifica dell'account. Così facendo SSSD può generare un avviso di scadenza della password anche se non viene utilizzata alcuna passsword durante l'autenticazione. Per maggiori informazioni consultare la Deployment Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSD supporta l'accesso con User Principal Name

Oltre ai nomi utente, SSSD è in grado di utilizzare l'attributo User Principal Name (UPN) per identificare gli utenti ed i relativi login. Questa funzione è disponibile per utenti dell'Active Directory. Con questo miglioramento è possibile eseguire l'accesso come utente AD utilizzando il nome utente e il dominio o l'attributo UPN.

SSSD supporta l'aggiornamento nel background per le voci memorizzate in cache

SSSD permette alle voci memorizzate in cache di essere aggiornate fuori banda nel background. In precedenza quando la validità delle voci in cache scadeva, SSSD le recuperava dal server remoto e le archiviava nel database, questa operazione poteva richiedere un periodo di tempo molto esteso. Con questo aggiornamento le voci possono essere ritornate in modo istantaneo poichè il backend le mantiene sempre aggiornate. Da notare che questo tipo di impostazione causa un carico più elevato sul server poichè SSSD scarica periodicamente le voci.

Il comando sudo supporta ora i log I/O compressi di zlib

Il comando sudo ora dispone di un supporto zlib il quale permette a sudo di generare e processare i log I/O compressi.

Nuovo pacchetto: openscap-scanner

È disponibile ora un nuovo pacchetto, openscap-scanner, il quale permette ad un amministratore di installare e usare lo scanner OpenSCAP (oscap) senza dover installare tutte le dipendenze del pacchetto openscap-utils, che in precedenza conteneva il tool dello scanner. L'uso di un pacchetto separato per lo scanner OpenSCAP riduce potenziali rischi associati all'installazione di dipendenze non necessarie. Il pacchetto openscap-utils è ancora disponibile e contiene tool generici. È consigliato agli utenti che necessitano del solo tool oscap di rimuovere il pacchetto openscap-utils e installare openscap-scanner.

Se supportato da NSS, il TLS 1.0, o versione più recente, è abilitato per impostazione predefinita

A causa di CVE-2014-3566, SSLv3 e le versioni meno recenti sono disabilitate per impostazione predefinita. Il Directory Server accetta ora protocolli SSL più sicuri, come TLSv1.1 e TLSv1.2, nella modolità resa disponibile dalla libreria NSS. A tale scopo è possibile definire la gamma SSL da utilizzare con la console durante le comunicazioni con le istanze del Directory Server.

openldap include la libreria pwdChecker

Questo aggiornamento rende disponibile l'estensione Check Password per OpenLDAP tramite l'implementazione della libreria pwdChecker di OpenLDAP. È necessario usare l'estensione per la conformità di PCI con Red Hat Enterprise Linux 6.

SSSD supporta l'override automatico del sito AD scoperto

Per impostazione predefinita il sito DNS dell'Active Directory (AD) usato dal client per collegarsi, viene scoperto automaticamente. Tuttavia la ricerca automatica predefinita non sempre identifica il sito AD più idoneo se si utilizzano determinate impostazioni. In queste situazioni è possibile definire manualmente il sito DNS usando il parametro ad_site nella sezione [domain/NAME] del file /etc/sssd/sssd.conf. Per maggiori informazioni su ad_site consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger supporta SCEP

È stato aggiornato il servizio certmonger per il supporto del Simple Certificate Enrollment Protocol (SCEP). Per ottenere i certificati dai server è ora possibile offrire l'uso del protocollo SCEP.

Miglioramenti prestazione per le operazioni di rimozione del Directory Server

In precedenza le ricerche del gruppo nidificato ricorsive eseguite durante una operazione di rimozione del gruppo, potevano richiedere una quantità di tempo estesa per il loro completamento se in presenza di gruppi statici molto grandi. A tal proposito è stato aggiunto il nuovo attributo memberOfSkipNested per saltare il controllo del gruppo nidificato, migliorando considerevolmente le prestazioni durante le operazioni di rimozione.

SSSD supporta la migrazione utente da WinSync a Cross-Realm Trust

In Red Hat Enterprise Linux 6.7 è stato implementato un nuovo meccanismo per le visualizzazioni dell'ID nella configurazione utente. Le visualizzazioni ID permettono di eseguire una migrazione degli utenti dell'Identity Management da una architettura basata sulla sincronizzazione WinSync, usata da Active Directory, ad una basata sull'infrastruttura sui Cross-Realm Trust. Per maggiori informazioni sulla procedura di migrazione e sulle visualizzazioni dell'ID consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD supporta il plug-in di kerberos localauth

Questo aggiornamento rende disponibile il plug-in di Kerberos localauth usato per l'autorizzazione locale. Il plug-in permette la mappatura automatica dei Kerberos principal con i nomi utente SSSD locali. Con questo plug-in non sarà più necessario usare il parametro auth_to_local nel file krb5.conf. Per maggiori informazioni sui plu-in consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD supporta l'accesso delle applicazioni specifiche senza i permessi necessari per accedere al sistema

È stata aggiunta l'opzione domains= al modulo pam_sss. Questa opzione annulla domains= presente nel file /etc/sssd/sssd.conf. Altresì, questo aggiornamento rende disponibile l'opzione pam_trusted_users per mezzo della quale un utente è in grado di aggiungere un elenco di UID numerici o nomi utente fidati del demone SSSD, una opzione pam_public_domains e un elenco di domini accessibili da parte di utenti non fidati. Queste nuove opzioni permettono di avere una configurazione che permette agli utenti di accedere applicazioni specifiche, senza che gli stessi siano in possesso dei permessi necessari per accedere al sistema. Per maggiori informazioni consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD supporta un ambiente utente uniforme su AD e IdM

Il servizio SSSD è in grado di leggere gli attributi POSIX definiti su un server Active Directory (AD) usato in un rapporto fidato con l'Identity Management (IdM). Con questo aggiornamento l'amministratore è in grado di trasferire un attributo user shell personalizzato da un server AD ad un client IdM. Successivamente SSSD visualizza l'attributo personalizzato sul client IdM. Questo aggiornamento permette di avere ambienti uniformi su tutto l'enterprise. Da notare che homedir presente sul client attualmente riporta il valore subdomain_homedir dal server AD. Per maggiori informazioni consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD supporta la visualizzazione dei gruppi per gli utenti fidati della AD prima di un login

Gli utenti dell'Active Directory (AD) dei domini di un insieme dell'AD in un rapporto fidato con l'Identity Management (IdM) sono ora in grado di risolvere l'appartenenza dei gruppi prima di eseguire il login. Ne risulta che l'utilità id è in grado di mostrare ora i gruppi per i suddetti utenti, senza richiedere agli stessi di eseguire l'accesso.

getcert supporta la richiesta dei certificati senza certmonger

Ora la richiesta di un certificato con l'utilità getcert durante la registrazione del kickstart del client Identity Management (IdM), non richiede più l'esecuzione del servizio certmonger. In precedenza un tentativo di questo genere falliva poichè certmonger non era in esecuzione. Con questo aggiornamento getcert è in grado di richiedere un certificato se il demone D-Bus non è in esecuzione. Attenzione, certmonger inizia la fase di monitoraggio del certificato solo dopo il riavvio.

SSSD supporta la conservazione del caso degli identificatori utente

SSSD ora supporta i valori true, false e preserve per l'opzione case_sensitive. Quando il valore preserve è abilitato, l'input corripsonde indipendentemente dal caso, ma l'output è sempre lo stesso caso di quello sul server; SSSD preserva il caso per il campo UID come riportato nella configurazione.

SSSD supporta la negazione dell'accesso SSH per gli account bloccati

In precedenza quando SSSD utilizzava OpenLDAP come database per l'autenticazione, gli utenti erano in grado di eseguire l'autenticazione nel sistema usando una chiave SSH anche quando l'account risultava bloccato. Il parametro ldap_access_order ora accetta il valore ppolicy il quale può negare l'accesso SSH all'utente, se in pesenza di un account bloccato. Per maggiori informazioni su come utilizzare ppolicy consultare la descrizione ldap_access_order disponibile nella pagina man di sssd-ldap(5).

SSSD supporta l'utilizzo di GPO su AD

SSSD è in grado ora di utilizzare il Group Policy Objects (GPO) archiviato su un server dell'Active Directory (AD) per il controllo dell'accesso. Questo miglioramento apporta una funzione simile a quella dei client di Windows, e permette l'uso di un insieme di regole per il controllo dell'accesso per la gestione di macchine Windows e Unix. Gli amministratori di Windows possono ora utilizzare GPO per controllare l'accesso ai client Linux. Per maggiori informazioni consultare la Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html