Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 5. Autenticação e Interoperabilidade

Recursos SSSD Totalmente Suportados

Diversos recursos introduzidos no Red Hat Enterprise Linux 6.3 são agora suportados no Red Hat Enterprise Linux 6.4. Especialmente:
  • Suporte para o gerenciamento central das chaves SSH
  • Mapeamento de usuário do SELinux
  • e suporte para realizar um cache do mapa de automount.

Novos Tipos de Armazenamento do SSSD

Versão do Kerberos 1.10 adicionou um novo tipo de armazenamento de cache, DIR:, que permite que o Kerberos mantenha o Ticket Granting Tickets (TGTs) para os Centros de Distribuição de Chave múltiplos (Key Distribution Centers - KDCs) simultâneamente e auto selecionar entre eles ao negociar com os recursos da consciência do Kerberos. No Red Hat Enterprise Linux 6.4, o SSSD foi aprimorado para permitir que você selecione o cache de DIR: para usuário que estejam se autenticando via SSSD. Este recurso é introduzido como uma Amostra de Tecnologia

Adicionando AD-based Trusted Domains to external Groups

No Red Hat Enterprise Linux 6.4, o comando ipa group-add-member permite que você adicione membros dos domínios confiáveis do Diretório Active em grupos marcados como external no Gerenciamento de Identidade. Estes membros podem ser especificados por seus nomes utilizando o domínio ou sintaxe baseada em UPN, por exemplo AD\UserName ou AD\GroupName, ou User@AD.Domain. Quando especificado nesta forma, os membros são resolvidos nos Catálogos Globais de domínios confiáveis baseados em Active Directory para obter seus valores de Security Identifier (SID).
Como forma alternativa, um valor SID poderia ser especificado diretamente. Neste caso o comando ipa group-add-member irá verificar somente se a parte do domínio do valor SID for um dos domínios confiáveis do Active Directory. Não haverá nenhuma tentativa de verificar a validade do SID dentro do domínio.
Recomenda-se utilizar o usuário ou sintáxe de nome de grupo de membros externos ao invés de fornecer seus valores SID diretamente.

Renovação automática dos Certificados do Subsistema de Gerenciamento de Identidade

O período de validade padrão para uma nova Autoridade de Certificado é de 10 anos. O CA envia um número de certificados para seus subsistemas (OCSP, log de auditoria, entre outros). Os certificados do subsistema são geralmente válidos por 2 anos. Se os certificados expirarem, o CA não inicia ou não funciona adequadamente. Portanto, no Red Hat Enterprise Linux 6.4, os servidores de Gerenciamento de Identidade são capazes de renovar automaticamente seus certificados de subsistema. Os certificados de subsistema são rastreados por certmonger, que tenta automaticamente renovar os certificados antes que eles expirem.

Configuração Automática das Ferramentas do OpenLDAP Client em Clientes Registrados no Gerenciamento de Identidade

No Red Hat Enterprise Linux 6.4, o OpenLDAP é configurado automaticamente com o padrão LDAP URI, um DN Base e um certificado TLS durante a instalação de cliente de Gerenciamento de Identidade. Isto aprimora a experiência do usuário ao realizar as buscas de LDAP para o Servidor de Diretório de Gerenciamento de Identidade.

PKCS#12 Suporte para python-nss

O pacote python-nss, o qual fornece o binding do Python para os NSS - Network Security Services (Serviços de Segurança de Rede) e o NSPR - Netscape Portable Runtime (Tempo de Execução Portável de Netscape), foi atualizado para adicionar o suporte PKCS #12.

Busca Persistente Completa para o DNS

O LDAP no Red Hat Enterprise Linux 6.4 inclui suporte para busca persistente em ambas as zonas e suas gravações de recurso. A busca persistente permite que o plugin bind-dyndb-ldap seja informado imediatamente sobre as mudanças em um banco de dados LDAP. Isto também diminui o uso de largura da banda de rede requerido pela realização repetida de polls.

Nova Operação CLEANALLRUV

Os elementos obsoletos no Database Replica Update Vector (RUV) podem ser removidos com a operação CLEANRUV que os remove em um fornecedor único ou master. O Red Hat Enterprise Linux 6.4 adiciona uma nova operação CLEANALLRUV que pode remover dados obsoletos do RUV de todas as réplicas e precisam ser executadas somente em um fornecedor único ou master.

Bibliotecas Atualizadas samba4

As bibliotecas do samba4 (fornecidas pelo pacote samba4-libs) forma atualizadas para a versão upstream mais recente para aprimorar a interoperabilidade com os domínios Active Directory (AD). O SSSD agora utiliza a biblioteca libndr-krb5pac para analisar o Privilege Attribute Certificate (PAC) enviado por um AD Key Distribution Center (KDC). Além disso, diversas melhorias foram feitas no Local Security Authority (LSA) e serviços Net Logon, para permitir verificação de trust de um sistema Windows. Para mais informações sobre a introdução da funcionalidade do Cross Realm Kerberos Trust que dependerá dos pacotes, samba4 consulte o “Funcionalidade do Cross Realm Kerberos no Gerenciamento de Identidade”.

Atenção

Se você atualizar a partir do Red Hat Enterprise Linux 6.3 para o Red Hat Enterprise Linux 6.4 com o Samba em uso, assegure-se de desinstalar o pacote samba4 para evitar conflitos durante a atualização.
Como a função do Cross Realm Kerberos Trusté considerada uma Amostra de Tecnologia, os componentes selecionados do samba4 são também considerados uma Amostra de Tecnologia. Para mais informações sobre quais pacotes do Samba que são considerados como Amostra de Tecnologia, consulte o Tabela 5.1, “Suporte do Pacote Samba4 ”.

Tabela 5.1. Suporte do Pacote Samba4

Nome do Pacote Novo Pacote no 6.4? Status de Suporte
samba4-libs No Amostra de Tecnologia, exceto funcionalidade requerida pelo OpenChange
samba4-pidl No Amostra de Tecnologia, exceto funcionalidade requerida pelo OpenChange
samba4 No Amostra de Tecnologia
samba4-client Sim Amostra de Tecnologia
samba4-common Sim Amostra de Tecnologia
samba4-python Sim Amostra de Tecnologia
samba4-winbind Sim Amostra de Tecnologia
samba4-dc Sim Amostra de Tecnologia
samba4-dc-libs Sim Amostra de Tecnologia
samba4-swat Sim Amostra de Tecnologia
samba4-test Sim Amostra de Tecnologia
samba4-winbind-clients Sim Amostra de Tecnologia
samba4-winbind-krb5-locator Sim Amostra de Tecnologia

Funcionalidade do Cross Realm Kerberos no Gerenciamento de Identidade

A função Cross Realm Kerberos Trust fornecida pelo Gerenciamento de Identidade está incluso como uma Amostra de Tecnologia. Este recurso permite criar um relacionamento de confiança entre um Gerenciamento de Identidade e um domínio Active Directory. Isto significa que os usuários do domínio AD podem acessar recursos e serviços a partir do domínio de Gerenciamento de Identidade com suas credenciais do AD. Nenhum dado precisa ser sincronizado entre o Gerenciamento de Identidade e os controladores do domínio de AD; O usuário de AD é sempre autenticado no controlador do domínio AD e informações sobre usuário é sempre verificada sem a necessidade de sincronização.
Este recurso é fornecido pelo pacote opcional ipa-server-trust-ad. Este pacote depende dos recursos que estão disponíveis somente no samba4. Como os pacotes do samba4-* conflitam com os pacotes correspondentes do samba-* todos os pacotes do samba-* devem ser removidos antes do ipa-server-trust-ad ser instalado.
Quando o pacote ipa-server-trust-ad é instalado, o comando ipa-adtrust-install deve ser executado em todos os servidores de Gerenciamento de Identidade (Identity Management) e replicado para que o Gerenciamento de Identidade possa lidar com os trusts. Depois de realizado, um trust pode ser estabelecido na linha de comando utilizando o ipa trust-add ou WebUI. Para mais informações, consulte a seção Integrating with Active Directory Through Cross-Realm Kerberos Trusts no Identity Management Guide em https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Suporte do Posix Schema para o Servidor de Diretório 389

O Windows Active Directory (AD) suporta o esquema de POSIX (RFC 2307 e 2307bis) para entradas de grupos de usuários. Em diversos casos, o AD é utilizado como uma fonte autoritativa de dados de usuário e grupos, incluindo atributos do POSIX. Com o Red Hat Enterprise Linux 6.4, o Servidor de Diretório Windows Sync não ignora mais estes atributos. Os usuários agora podem sincronizar os atributos do POSIX sem a Sincronização do Windows entre o AD e o Servidor do Diretório 389.

Nota

Ao adicionar entradas de um novo usuário e grupos ao Servidor de Diretório, os atributos do POSIX não estão mais sincronizados com o AD. Ao adicionar entradas de novo usuário e grupos ao AD, você irá sincronizar com o Servidor de Diretório, e a modificação de atributos irá sincronizá-los de ambas as formas.