Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 5. Autenticação e Interoperabilidade

Suporte para o gerenciamento central das chaves SSH

Anteriormente, não era possível gerenciar centralmente máquinas e usuários de chaves públicas de SSH. O Red Hat Enterprise Linux 6.3 inclui o gerenciamento de chave pública SSH para servidores de Gerenciamento de Identidade como uma Amostra de Tecnologia. O OpenSSH nos clientes de Gerenciamento de Identidade é configurado automaticamente para usar chaves públicas que são armazenadas no servidor de Gerenciamento de Identidade. A máquina SSH e identidades de usuários podem agora ser gerenciados centralmente no Gerenciamento de Identidade. BZ#803822n

Mapeamento de usuário do SELinux

Red Hat Enterprise Linux 6.3 introduz a habilidade de controlar o contexto do SELinux de um usuário em um sistema remoto. O mapa de usuário do SELinux pode ser definido e opcionalmente associado às regras do HBAC. Estes mapas definem o contexto que um usuário recebe dependendo da máquina que eles estão autenticando e o registro do grupo. QUando um usuário se autentica em uma máquina remota que é configurada para o uso do SSSD com o backend do Gerenciamento de Identidade, o contexto do SELinux do usuário é automaticamente definido de acordo com as regras de mapeamento definidas para aquele usuário. Para mais informações, consulte o http://freeipa.org/page/SELinux_user_mapping. This feature is considered a Technology Preview. BZ#803821

Métodos requeridos múltiplos de autenticações para sshd

O SSH pode agora ser definido para requere diversas formas de autenticação (se o SSH anterior permitia diversas formas de autenticação do qual um era necessário para uma autenticação bem sucedida), por exemplo: autenticação em uma máquina com SSH habilitado requer ambos frase senha e uma senha pública. As opções RequiredAuthentications1 e RequiredAuthentications2 podem ser configuradas no /etc/ssh/sshd_config para especificar autenticações necessárias para uma autenticação bem sucedida. Por exemplo: 

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
Para mais informações sobre opções mencionadas acima /etc/ssh/sshd_config consulte man page do sshd_config . BZ#657378
Suporte SSSD para caching de mapa do automount

No Red Hat Enterprise Linux 6.3, o SSSD inclui o novo recurso de Amostra de Tecnologia: suporte para mapas de agrupamento de automount. Este recurso fornece diversas vantagens à ambientes que operam com o autofs:

  • Os mapas de automount agrupados facilitam para a máquina cliente realizar operações de montagem até quando o servidor do LDAP é inalcansável, mas o servidor do NFS se mantém ao alcance.
  • Quando o daemon do autofs for configurado para procurar por mapas de automount via SSSD, somente um único arquivo pode ser configurado: /etc/sssd/sssd.conf. Anteriormente, o arquivo /etc/sysconfig/autofs precisava ser configurado para buscar dados autofs.
  • Agrupar mapas de automount resultam em um desempenho mais rápido no cliente e menos tráfego no servidor LDAP. BZ#761570
Mudança no comportamento do SSSD debug_level

O SSSD mudou o comportamento da opção debug_level no arquivo /etc/sssd/sssd.conf. Anteriormente, era possível definir a opção debug_level na seção de configuração [sssd] e o resultado seria que este se tornaria a configuração para outras seções de configuração, a menos que eles se sobrescrevessem explicitamente.

Diversas mudanças nos recursos de autenticação de depuração interna precisavam que a opção debug_level sempre fosse especificada independentemente em cada seção do arquivo de configuração, ao invés de adquirir seu padrão a partir da seção [sssd].
Como um resultado, após atualizar para a versão mais recente do SSSD, os usuários podem precisar atualizar suas configurações para continuar recebendo autenticação de depuração no mesmo nível. Os usuários que configuram o SSSD por máquina, podem usar um simples Python que atualiza suas configurações existentes de forma compatível. Isto pode ser acompanhado pela execução do seguinte comando como root: 
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
Este recurso faz as seguintes mudanças para o arquivo de configuração: ele verifica se a opção debug_level foi especificada na seção [sssd]. Caso isto aconteça, ele adiciona aquele mesmo valor de nível para a seção de cada um no arquivo sssd.conf para o qual o debug_level não é especificado. Se a opção debug_level já existir explicitamente na outra seção, é deixado sem efetuar mudanças.
Usuários que contam com as ferramentas de gerenciamento de configuração para fazer estas mesmas mudanças manualmente na ferramenta adequada. BZ#753763
Nova opção ldap_chpass_update_last_change

A nova opção ldap_chpass_update_last_change, foi adicionada à configuração do SSSD. Se esta opção estiver desabilitada, o SSSD tenta mudar o atributo do LDAP shadowLastChange para o tempo atual. Note que este é relacionado somente em um caso que a política de senha do LDAP é usada (geralmente assistida pelo servidor LDAP), ou seja, a operação estendida do LDAP é utilizada para mudar a senha. Também note que o atributo precisa ser gravável pelo usuário que está mudando a senha. BZ#739312