Capítulo 1. Autenticação

Directory Server suporta cache do DN normalizado e configurável

Esta atualização fornece melhor desempenho para plugins como o memberOf e para operações que atualiza entradas com muitos atributos de sintaxe DN. O cache DN, recentemente implementado e configurável normalizado, torna o manuseio do DN pelo servidor mais eficiente.

SSSD exibe alertas de expiração de senha ao usar uma autenticação sem senha

Anteriormente, SSSD só podia verificar validade da senha durante a fase de autenticação. No entanto, quando foi utilizado um método de autenticação não-senha, como durante SSH login, SSSD não era chamado na fase de autenticação e, portanto, não executava uma verificação de validade da senha. Esta atualização move a seleção da fase de autenticação para a fase de conta. Como resultado, SSSD pode emitir um aviso de expiração de senha, mesmo quando nenhuma senha é usada durante a autenticação. Para mais informações, consulte o Guia de Implantação: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSd suporta o login com o Nome Principal do Usuário

Além de nomes de usuário, o atributo do nome de usuário principal (UPN) agora pode ser usado por SSSD para a identificação de usuários e logins de usuários, o que é uma funcionalidade disponível para usuários do Active Directory. Com este acessório, é possível fazer login como um usuário do AD com o nome do usuário eo domínio, ou o atributo UPN.

SSSd suporta atualização de pano de fundo para entradas em cache

SSSD permite entradas em cache a ser atualizado out-of-band no fundo. Antes desta actualização, quando a validade de entradas em cache expirou, SSSD buscado los a partir do servidor remoto e armazenados na referida base de novo, o que pode ser demorado. Com esta atualização, as entradas são devolvidos de imediato porque a extremidade traseira mantém-los atualizados em todos os momentos. Note que isto gera uma carga maior no servidor, porque SSSD transfere as entradas periodicamente em vez de apenas mediante pedido.

O comando sudo suporta logs de E/S comprimido do zlib

O comando sudo agora é construído com o suporte do zlib que possibilita o sudo a gerar e processar logs de E/S.

Novo Pacote: openscap-scanner

Agora é fornecido um novo pacote, openscap-scanner, para permitir que administradores instalem e usem o scanner OpenSCAP (oscap) sem ter que instalar todas as dependências do pacote openscap-utils, que anteriormente continha a ferramenta scanner. A embalagem separada do scanner OpenSCAP reduz potenciais riscos de segurança associados à instalação de dependências desnecessários. O pacote openscap-utils ainda está disponível e contém outras ferramentas diversas. Usuários que precisam apenas a ferramenta oscap são aconselhados a remover o pacote openscap-utils e instalar o pacote openscap-scanner.

Se suportado pelo NSS, TLS 1.0 ou um mais novo é habilitado por defautl

Devido à CVE-2014-3566, o SSLv3 e versões mais antigas do protocolo são desativados por padrão. O Directory Server agora aceita protocolos SSL mais seguros, como TLSv1.1 e TLSv1.2, na forma de classificação oferecida pela biblioteca NSS. Você também pode definir o intervalo de SSL que o console vai usar ao se comunicar com instâncias do Directory Server.

openldap inclui a biblioteca pwdChecker

Esta atualização introduz a extensão do Verificar senha para o OpenLDAP, incluindo a biblioteca do OpenLDAP pwdChecker . A extensão é necessária para o cumprimento do PCI no Red Hat Enterprise Linux 6.

SSSd suporta sobrescrição automática do local AD descoberto

O local de DNS do Active Directory (AD) com o qual o cliente se conecta, é descoberto automaticamente por padrão. No entanto, a pesquisa automática padrão pode não descobrir o site AD mais adequado em determinadas configurações. Em tais situações, você pode agora definir o local DNS manualmente usando o parâmetro ad_site na seção [domain / NAME] do arquivo / etc / sssd / sssd. conf . Para mais informações sobre ad_site , consulte o Guia de Gestão de Identidade:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger suporta SCEP

O serviço certmonger foi atualizado para suportar o Simple Certificate Enrollment Protocol (SCEP). Para obter certificados de servidores, você pode agora oferecer registro sobre SCEP.

Melhorias de desempenho para as operações de remoção do Directory Server

Anteriormente, as buscas de grupo aninhados recursivas realizadas durante uma operação de exclusão do grupo podia levar um longo tempo para concluir se houvesse muito grupos estáticos grandes. O novo atributo memberOfSkipNested de configuração foi adicionado para permitir pular a verificação de grupo aninhado, melhorando assim o desempenho de operações de exclusão de forma significativa.

SSSd suporta migração de usuário a partir de WinSync para Cross-Realm Trust

Um novo mecanismo de ID Visualizações de configuração do usuário foi implementada no Red Hat Enterprise Linux 6.7. ID Visualizações permite a migração de usuários de Gerenciamento de Identidade de uma arquitetura baseada em sincronização WinSync utilizado pelo Active Directory para uma infra-estrutura baseada em relações de confiança Cross-Realm. Para obter detalhes sobre ID Visualizações eo procedimento de migração, consulte o Guia de Gestão de Identidade: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSd suporta localauth Kerberos plug-in

Esta atualização adiciona o Kerberos plug-in localauth de autorização local. O plug-in garante que os diretores Kerberos sejam automaticamente mapeados para nomes de usuários locais SSSD. Com este plug-in, não é mais necessário usar o parâmetro auth_to_local no krb5.conf. Para obter mais informações sobre o plug-in, consulte o Guia de Gestão de Identidade: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSd suporta acesso à aplicativos especificados sem os direitos de login do sistema

A opção domains= foi adicionada ao módulo pam_sss, que substitui a opção domains= no arquivo /etc/sssd/sssd.conf. Além disso, esta atualização adiciona a opção pam_trusted_users, que permite que o usuário adicione uma lista de UIDs numéricos ou nomes de usuário que são confiáveis pelo daemon SSSD. Além disso, a opção pam_public_domains, e uma lista de domínios acessíveis até mesmo para usuários não confiáveis. Estas novas opções permitem uma configuração de sistema que permite que os usuários regulares para acessar aplicativos especificados sem direitos de login no sistema em si. Para obter mais informações, consulte o Guia de Gestão de Identidade: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSd suporta ambiente de usuário consistente no AD e IdM

O serviço SSSD pode ler POSIX atributos definidos em um servidor de Active Directory (AD) que está em uma relação de confiança com o Gerenciamento de Identidades (IdM). Com esta atualização, o administrador pode transferir um atributo shell de usuário personalizado do servidor AD para um cliente de IdM. SSSD em seguida, exibe o atributo personalizado no cliente IdM. Esta atualização permite manter ambientes consistentes em toda a empresa. Note que o atributo homedir no cliente atualmente exibe o subdomain_homedir valor a partir do servidor AD. Para obter mais informações, consulte o Guia de Gerenciamento de Identidade: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSd suporta a exibição de grupos para os usuários confiáveis de AD antes de realizar o login

Usuários de domínios de uma floresta AD em uma relação de confiança com o Gerenciamento de Identidades (IdM) são capazes de resolver as adesões do grupo antes de fazer o login. Como resultado Active Directory (AD), o id utilitário agora exibe os grupos para esses usuários sem exigindo que o usuário log in.

getcert suporta a requisição de certificados sem o certmonger

Solicitar um certificado usando o getcert durante um registro do kickstart cliente do Gerenciamento de Identidades (IdM) não requer mais o serviço certmonger a ser executado. Anteriormente, a tentativa de fazer isso falhou porque certmonger não foi executada. Com esta atualização, getcert pode solicitar com sucesso um certificado na situação descrita, com a condição de que o daemon D-Bus não está em execução. Note que certmonger começa a monitorar o certificado obtido desta forma somente após a reinicialização.

SSSd suporta a preservação do caso de identificadores de usuário

SSSD agora suporta os valores true , false e preserve para a opção case_sensitive. Quando o valor preserve é habilitado, a entrada corresponde independentemente do caso, mas a saída é sempre o mesmo caso como no servidor; SSSD preserva o caso para o campo UID como está configurado.

SSSd suporta a negação do acesso ao login de SSH de contas bloqueadas

Anteriormente, quando SSSD usava OpenLDAP como banco de dados de autenticação, os usuários podem autenticar no sistema com sucesso com uma chave de SSH, mesmo depois da conta de usuário ser bloqueada. O parâmetro ldap_access_order agora aceita o valor ppolicy , que pode negar o acesso SSH para o usuário na situação descrita. Para obter mais informações sobre o uso de ppolicy , consulte o ldap_access_order no sssd-ldap (5) na página man.

SSSd suporta o uso do GPOs no AD

SSSD agora pode usar Group Policy Objects (GPOs) armazenados em um servidor de Active Directory (AD) para controle de acesso. Este aprimoramento imita a funcionalidade de clientes Windows, e um único conjunto de regras de controle de acesso pode agora ser usado para lidar com Windows e máquinas Unix. Os administradores do Windows podem agora usar GPOs para controlar o acesso a clientes Linux. Para obter mais informações, consulte o Guia de Gerenciamento de Identidade: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html