Глава 1. Аутентификация

Directory Server: нормализованный кэш DN

Нормализация DN представляет собой довольно ресурсоемкую задачу, поэтому накапливание нормализованных имен в кэше помогает сократить число необходимых преобразований и улучшить быстродействие операций обработки записей с большим количеством атрибутов DN, а также функций, аналогичных memberOf

SSSD предупреждает об истечении срока действия паролей независимо от метода аутентификации

Раньше SSSD проверял пароль на стадии аутентификации, однако при беспарольном подключении с использованием открытых ключей SSH вызов SSSD происходил уже на стадии управления учетной записью (PAM: account) и, естественно, пароль не проверялся. Теперь SSSD проверяет пароль на стадии управления учетной записью и может отслеживать время действия пароля. Подробную информацию можно найти в Руководстве по развертыванию.

SSSD: авторизация с использованием UPN

SSSD поддерживает авторизацию пользователей с использованием атрибута UPN (User Princial Name). Такой подход уже широко применяется в Active Directory, и его реализация в SSSD делает возможной авторизацию пользователей Active Directory не только по имени и домену, но и по UPN.

SSSD: фоновое обновление записей в кэше

Раньше при обращении к устаревшим данным в кэше SSSD получал обновленные записи с удаленного сервера и заново размещал их в базе данных, что при обработке каталогов с большим количеством записей занимало довольно много времени. Теперь обновление кэша происходит в фоновом режиме, и несмотря на то, что его периодическое обновление повышает нагрузку на сервер, рост быстродействия при обращении к кэшу оправдывает эти затраты.

sudo поддерживает zlib

Интеграция поддержки zlib в sudo обеспечивает возможность генерации и обработки сжатых журналов.

Openscap-scanner

Новый пакет openscap-scanner позволяет установить сканер OpenSCAP без необходимости установки всех зависимостей пакета openscap-utils, в состав которого он входил раньше. Создание отдельного пакета для OpenSCAP позволяет сократить негативные последствия, связанные с установкой множества лишних пакетов. Пакет openscap-utils предоставляет другие инструменты и по-прежнему доступен для установки. Если пользователь не планирует использовать другие инструменты кроме сканера, рекомендуется удалить openscap-utils и установить openscap-scanner.

Directory Server: выбор TLS 1.0 и выше

В целях защиты от уязвимости CVE-2014-3566, SSLv3 и более ранние версии протокола по умолчанию отключены. Directory Server использует более защищенные протоколы TLSv1.1 и TLSv1.2 с учетом заданного диапазона в NSS. При необходимости администратор может определить допустимый диапазон версий SSL для взаимодействия с Directory Server из консоли.

pwdChecker в OpenLDAP

В целях обеспечения соответствия стандарту PCI была добавлена библиотека pwdChecker для OpenLDAP.

SSSD: переопределение автоматически обнаруженного сайта AD

По умолчанию Active Directory выполняет автоматическое обнаружение сайта, к которому будет подключен клиент, что не гарантирует выбор наиболее подходящего сайта. С помощью параметра ad_site в секции [domain/NAME] в /etc/sssd/sssd.conf администратор может вручную определить сайт, к которому будет подключаться SSSD. Подробное описание ad_site можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger поддерживает SCEP

certmonger обновлен и теперь поддерживает протокол SCEP (Simple Certificate Enrollment Protocol) для автоматического получения сертификатов.

Оптимизация операций удаления групп на Directory Server

Раньше операции удаления групп выполнялись рекурсивно, что при наличии большого количества вложенных групп занимало много времени. Новый параметр memberOfSkipNested позволяет отключить рекурсивную проверку групп, тем самым значительно улучшив скорость удаления.

SSSD поддерживает переопределение атрибутов пользователей при переходе с WinSync на модель доверительных отношений

Новая концепция ID-представлений (ID View) помогает перевести пользователей IdM с WinSync на инфраструктуру, использующую модель отношений доверия между областями. За подробной информацией обратитесь к документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: localauth для Kerberos

Новый модуль localauth для локальной авторизации Keberos автоматически сопоставляет учетные записи Kerberos с локальными пользователями SSSD, что полностью снимает необходимость в параметре auth_to_local в krb5.conf. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: выборочный доступ к приложениям без права доступа к системе

Новый параметр domains= модуля pam_sss переопределяет одноименное значение в /etc/sssd/sssd.conf. Параметр pam_trusted_users позволяет определить список доверенных пользователей (по UID или именам), а pam_public_domains — список доменов, которые будут доступны даже непроверенным пользователям. На основе этих правил можно создать схему, разрешающую обращение отдельных пользователей к определенным приложениям, но не к самой системе. Более детально это обсуждается в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: согласование окружения пользователя между AD и IdM

SSSD позволяет обращаться к атрибутам POSIX на сервере Active Directory, находящегося в доверительных отношениях с IdM (Identity Management). Теперь администратор может передать информацию об оболочке пользователя с сервера Active Directory клиенту IdM, после чего соответствующий атрибут будет доступен на клиенте IdM. Это обновление обеспечивает согласование окружений в пределах всей организации. Надо отметить, что в настоящее время атрибут homedir клиента IdM отражает значение subdomain_homedir с сервера Active Directory. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: получение списка групп пользователя Active Directory

Пользователи AD из доменов в лесу AD, находящихся в доверительных отношениях с IdM (Identity Management), теперь могут идентифицировать свой список групп до авторизации, благодаря чему стало возможным получить сведения о группах пользователей AD с помощью id.

getcert допускает получение сертификатов без запуска certmonger

getcert позволяет запросить сертификат во время автоматической регистрации клиентов IdM (Identity Management) без необходимости запуска certmonger. Это возможно только при условии, что dbus-daemon выключен. При этом certmonger возьмет контроль над сертификатом только после перезагрузки.

SSSD: сохранение регистра букв в идентификаторах пользователей

Параметр case_sensitive может принимать значения true, false и preserve. Новое значение preserve, в отличие от false, не переводит все символы в нижний регистр, хотя позволяет его игнорировать при поиске соответствий. Идентификаторы пользователей хранятся на сервере с учетом регистра, что отражается при выводе.

SSSD: запрет доступа по SSH для заблокированных пользователей

Раньше SSSD не учитывал факт блокирования учетной записи сервером OpenLDAP, вследствие чего пользователи могли подключаться к системе с использованием SSH-ключа даже после истечения срока действия их учетных записей. Эта проблема решается присвоением параметру ldap_access_order значения ppolicy. Подробную информацию можно найти на справочной странице sssd-ldap(5).

SSSD: объекты групповой политики на сервере Active Directory

SSSD допускает использование объектов групповой политики (GPO) на сервере Active Directory, что позволяет имитировать функциональность, широко применяемую клиентами Windows, и использовать один набор правил для управления доступом к компьютерам с операционными системами Windows и Unix. В свою очередь, администраторы Windows смогут управлять доступом к клиентам Linux с применением уже знакомых им объектов GPO. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html