Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Глава 5. Аутентификация и функциональная совместимость

Поддержка централизованного управления ключами SSH

Раньше централизованное управление открытыми ключами SSH пользователей и хоста было невозможно. В Red Hat Enterprise Linux 6.3 эта возможность добавлена в качестве экспериментальной версии. OpenSSH в системах клиентов теперь автоматически использует открытые ключи, хранящиеся на сервере управления удостоверениями (BZ#803822 ).

Создание соответствий SELinux

Red Hat Enterprise Linux 6.3 позволяет управлять контекстами пользователей в удаленных системах. Можно создать правила соответствий SELinux и дополнительно связать их с правилами HBAC. Соответствия определяют контекст, который будет назначен пользователю в зависимости от того, к какому хосту он пытается подключиться и его принадлежности группам. Эти возможности предоставляются в качестве экспериментальной версии. Более подробную информацию можно найти на http://freeipa.org/page/SELinux_user_mapping (BZ#803821 ).

Обязательные методы аутентификации для sshd

Раньше для SSH можно было настроить несколько методов аутентификации, один из которых требовался для успешного входа. Теперь для SSH можно настроить несколько обязательных методов. Например, при подключении к системе с SSH можно запросить ввод парольной фразы и потребовать предоставить открытый ключ. За это отвечают параметры RequiredAuthentications1 и RequiredAuthentications2 в файле /etc/ssh/sshd_config. Пример их изменения: 

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
Подробную информацию о параметрах /etc/ssh/sshd_config можно найти на справочной странице sshd_config (BZ#657378 ).
Поддержка SSSD для кэширования автоматического монтирования

Функции поддержки кэширования автоматического монтирования на уровне SSSD предоставляются в качестве экспериментальной версии. Основные изменения при работе с autofs перечислены ниже.

  • Кэширование облегчает монтирование даже в случае, если LDAP-сервер недоступен, а NFS-сервер доступен.
  • Если конфигурация autofs разрешает поиск схем автоматического монтирования с помощью SSSD, потребуется настроить всего один файл — /etc/sssd/sssd.conf. Для справки, раньше также требовалось проверять /etc/sysconfig/autofs.
  • Кэширование схем автоматического монтирования повышает скорость работы клиента и снимает нагрузку с LDAP-сервера (BZ#761570 ).
Изменения в SSSD debug_level

Изменилось поведение параметра debug_level в /etc/sssd/sssd.conf. Раньше его исходное значение можно было установить в секции [sssd], и это значение по умолчанию использовалось для остальных секций.

Некоторые внутренние функции журналирования подверглись изменениям, поэтому теперь debug_level должен быть явно определен в каждой секции файла конфигурации.
После установки последней версии SSSD потребуется обновить конфигурацию, чтобы сохранить эквивалентный уровень журналирования. Если настройка SSSD осуществляется отдельно для каждой машины, конфигурацию можно будет обновить с помощью Python (в режиме root): 
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
Эта команда проверит наличие параметра debug_level в секции [sssd]. Его значение будет скопировано в остальные секции файла sssd.conf, где параметр не найден. Если debug_level присутствует во всех секциях, команда завершит работу.
Пользователям, полагающимся на централизованные средства управления, потребуется внести эти изменения вручную (BZ#753763 ).
ldap_chpass_update_last_change

Добавлен новый параметр конфигурации SSSD ldap_chpass_update_last_change, позволяющий записать текущее время в атрибут shadowLastChange (LDAP). Это имеет смысл только в случае использования политики паролей LDAP, которая реализуется на LDAP-сервере. Чтобы успешно изменить его значение, пользователь должен иметь право записи этого атрибута (BZ#739312 ).