Глава 5. Аутентификация и функциональная совместимость

SSSD

Ниже перечислены функции SSSD, которые теперь поддерживаются полностью.
  • Поддержка централизованного управления ключами SSH
  • Создание соответствий пользователей SELinux
  • Поддержка кэширования автоматического монтирования.

Новый тип DIR:

В Kerberos 1.10 добавлен новый тип DIR:, что позволяет сохранять билеты TGT (Ticket Granting Tickets) для разных центров KDC (Key Distribution Center) и выбирать их автоматически. Теперь SSSD позволяет выбрать кэш DIR: для пользователей, авторизующихся через SSSD. Эта функция предоставляется в качестве экспериментальной версии.

Добавление доверенных доменов Active Directory в группы external

Команда ipa group-add-member позволяет добавить пользователей доверенных доменов Active Directory в группы external. Они могут выбраны по имени (в форме AD\UserName AD\GroupName или User@AD.Domain). Такой формат подразумевает, что разрешение имени и получение идентификатора SID (Security Identifier) будет осуществляться в глобальном каталоге доверенного домена.
Значение SID можно указать напрямую, тогда ipa group-add-member проверит только имя домена в строке идентификатора. Сам идентификатор проверяться не будет.
Для определения внешних элементов рекомендуется использовать имена вместо SID.

Автоматическое обновление сертификатов

Срок действия новых центров сертификации составляет 10 лет. Центр сертификации выделяет определенное число сертификатов для своих подсистем (OCSP, журнал аудита и пр.), которые действительны на протяжении 2 лет. Если срок действия сертификатов истек, работа центра сертификации может быть нарушена. В Red Hat Enterprise Linux 6.4 серверы управления удостоверениями могут автоматически обновлять сертификаты своих подсистем. Эти функции выполняет certmonger.

Автоматическая конфигурация OpenLDAP

Настройка стандартного URI LDAP, базового DN-имени и сертификата TLS OpenLDAP теперь осуществляется автоматически.

Поддержка PKCS#12 в python-nss

python-nss теперь включает поддержку PKCS #12.

Сохранение результатов поиска

LDAP поддерживает поиск с сохранением результатов для зон и записей ресурсов. Это отменяет необходимость в повторном опросе, тем самым снижая нагрузку на сеть, и позволяет модулю bind-dyndb-ldap сразу получать информацию об изменениях в базе данных LDAP.

Операция CLEANALLRUV

Команда CLEANRUV позволяет удалить устаревшие элементы в Replica Update Vector (RUV). В Red Hat Enterprise Linux 6.4 добавлена функция CLEANALLRUV для удаления подобных данных из всех реплик, которая должна быть выполнена в мастер-таблице.

Библиотеки samba4

Обновленные библиотеки samba4 в составе пакета samba4-libs улучшают функциональную совместимость с доменами Active Directory. SSSD теперь использует библиотеку libndr-krb5pac для чтения сертификата PAC (Privilege Attribute Certificate), выданного центром KDC (Key Distribution Center). Дополнительные изменения LSA и служб сетевой авторизации позволяют осуществлять проверку доверенных ресурсов Windows (см. «Функциональность доверия между областями Kerberos в Identity Management»).

Предупреждение

При обновлении систем Red Hat Enterprise Linux 6.3 с Samba до версии 6.4 во избежание конфликтов потребуется удалить пакет samba4.
Функциональность доверия между областями Kerberos предоставляется в качестве экспериментальной версии, поэтому выборочные компоненты samba4 получают такой же статус (см. Таблица 5.1, «Поддержка пакетов Samba4»).

Таблица 5.1. Поддержка пакетов Samba4

Пакет Добавлен в 6.4 Поддержка
samba4-libs Нет Экспериментальная версия за исключением обязательных функций OpenChange
samba4-pidl Нет Экспериментальная версия за исключением обязательных функций OpenChange
samba4 Нет Предварительный выпуск
samba4-client Да Предварительный выпуск
samba4-common Да Предварительный выпуск
samba4-python Да Предварительный выпуск
samba4-winbind Да Предварительный выпуск
samba4-dc Да Предварительный выпуск
samba4-dc-libs Да Предварительный выпуск
samba4-swat Да Предварительный выпуск
samba4-test Да Предварительный выпуск
samba4-winbind-clients Да Предварительный выпуск
samba4-winbind-krb5-locator Да Предварительный выпуск

Функциональность доверия между областями Kerberos в Identity Management

Эта функциональность включена в качестве экспериментальной версии и позволяет создать отношение доверия между системой управления удостоверениями (Identity management) и доменом Active Directory. Это позволяет пользователям из домена Active Directory обращаться к ресурсам и службам домена Identity Management, используя свои реквизиты Active Directory. При этом в синхронизации данных между контроллерами доменов Active Directory и identity Management необходимости нет.
Эти функции предоставляются пакетом ipa-server-trust-ad, который зависит от samba4. Вследствие конфликта samba4-* с samba-* потребуется удалить все пакеты samba-* и уже после этого установить ipa-server-trust-ad.
После установки пакета ipa-server-trust-ad следует выполнить ipa-adtrust-install на всех серверах Identity Management и в репликах. После этого можно будет определить отношение доверия при помощи ipa trust-add. Дальнейшую информацию можно найти в руководстве по управлению удостоверениями на https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Поддержка схемы Posix для 389 Directory Server

Windows Active Directory (AD) поддерживает схему POSIX (RFC 2307 и 2307bis) для записей пользователей и групп. В большинстве случаев Active Directory используется в качестве авторитетного источника данных пользователей и групп, в том числе и атрибутов POSIX. В Red Hat Enterprise Linux 6.4 пользователи могут синхронизировать атрибуты POSIX между Active Directory и 389 Directory Server.

Примечание

При добавлении новых записей пользователей и групп в 389 Directory Server атрибуты POSIX не будут синхронизированы с Active Directory, в то время как при добавлении записей в Active Directory будет выполнена синхронизация с Directory Server. Изменение атрибутов будет синхронизировано в любом случае.