Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Глава 5. Аутентификация и функциональная совместимость
Раньше централизованное управление открытыми ключами SSH пользователей и хоста было невозможно. В Red Hat Enterprise Linux 6.3 эта возможность добавлена в качестве экспериментальной версии. OpenSSH в системах клиентов теперь автоматически использует открытые ключи, хранящиеся на сервере управления удостоверениями (BZ#803822 ).
Red Hat Enterprise Linux 6.3 позволяет управлять контекстами пользователей в удаленных системах. Можно создать правила соответствий SELinux и дополнительно связать их с правилами HBAC. Соответствия определяют контекст, который будет назначен пользователю в зависимости от того, к какому хосту он пытается подключиться и его принадлежности группам. Эти возможности предоставляются в качестве экспериментальной версии. Более подробную информацию можно найти на http://freeipa.org/page/SELinux_user_mapping (BZ#803821 ).
Раньше для SSH можно было настроить несколько методов аутентификации, один из которых требовался для успешного входа. Теперь для SSH можно настроить несколько обязательных методов. Например, при подключении к системе с SSH можно запросить ввод парольной фразы и потребовать предоставить открытый ключ. За это отвечают параметры RequiredAuthentications1
и RequiredAuthentications2
в файле /etc/ssh/sshd_config
. Пример их изменения:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
/etc/ssh/sshd_config
можно найти на справочной странице sshd_config
(BZ#657378
).
Функции поддержки кэширования автоматического монтирования на уровне SSSD предоставляются в качестве экспериментальной версии. Основные изменения при работе с autofs
перечислены ниже.
- Кэширование облегчает монтирование даже в случае, если LDAP-сервер недоступен, а NFS-сервер доступен.
- Если конфигурация
autofs
разрешает поиск схем автоматического монтирования с помощью SSSD, потребуется настроить всего один файл —/etc/sssd/sssd.conf
. Для справки, раньше также требовалось проверять/etc/sysconfig/autofs
. - Кэширование схем автоматического монтирования повышает скорость работы клиента и снимает нагрузку с LDAP-сервера (BZ#761570 ).
Изменилось поведение параметра debug_level
в /etc/sssd/sssd.conf
. Раньше его исходное значение можно было установить в секции [sssd]
, и это значение по умолчанию использовалось для остальных секций.
debug_level
должен быть явно определен в каждой секции файла конфигурации.
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
debug_level
в секции [sssd]
. Его значение будет скопировано в остальные секции файла sssd.conf
, где параметр не найден. Если debug_level
присутствует во всех секциях, команда завершит работу.
Добавлен новый параметр конфигурации SSSD ldap_chpass_update_last_change
, позволяющий записать текущее время в атрибут shadowLastChange
(LDAP). Это имеет смысл только в случае использования политики паролей LDAP, которая реализуется на LDAP-сервере. Чтобы успешно изменить его значение, пользователь должен иметь право записи этого атрибута (BZ#739312
).