Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Глава 1. Аутентификация
Directory Server: нормализованный кэш DN
Нормализация DN представляет собой довольно ресурсоемкую задачу, поэтому накапливание нормализованных имен в кэше помогает сократить число необходимых преобразований и улучшить быстродействие операций обработки записей с большим количеством атрибутов DN, а также функций, аналогичных
memberOf
SSSD предупреждает об истечении срока действия паролей независимо от метода аутентификации
Раньше SSSD проверял пароль на стадии аутентификации, однако при беспарольном подключении с использованием открытых ключей SSH вызов SSSD происходил уже на стадии управления учетной записью (PAM: account) и, естественно, пароль не проверялся. Теперь SSSD проверяет пароль на стадии управления учетной записью и может отслеживать время действия пароля. Подробную информацию можно найти в Руководстве по развертыванию.
SSSD: авторизация с использованием UPN
SSSD поддерживает авторизацию пользователей с использованием атрибута UPN (User Princial Name). Такой подход уже широко применяется в Active Directory, и его реализация в SSSD делает возможной авторизацию пользователей Active Directory не только по имени и домену, но и по UPN.
SSSD: фоновое обновление записей в кэше
Раньше при обращении к устаревшим данным в кэше SSSD получал обновленные записи с удаленного сервера и заново размещал их в базе данных, что при обработке каталогов с большим количеством записей занимало довольно много времени. Теперь обновление кэша происходит в фоновом режиме, и несмотря на то, что его периодическое обновление повышает нагрузку на сервер, рост быстродействия при обращении к кэшу оправдывает эти затраты.
sudo поддерживает zlib
Интеграция поддержки
zlib
в sudo
обеспечивает возможность генерации и обработки сжатых журналов.
Openscap-scanner
Новый пакет
openscap-scanner
позволяет установить сканер OpenSCAP без необходимости установки всех зависимостей пакета openscap-utils, в состав которого он входил раньше. Создание отдельного пакета для OpenSCAP позволяет сократить негативные последствия, связанные с установкой множества лишних пакетов. Пакет openscap-utils предоставляет другие инструменты и по-прежнему доступен для установки. Если пользователь не планирует использовать другие инструменты кроме сканера, рекомендуется удалить openscap-utils и установить openscap-scanner.
Directory Server: выбор TLS 1.0 и выше
В целях защиты от уязвимости CVE-2014-3566, SSLv3 и более ранние версии протокола по умолчанию отключены. Directory Server использует более защищенные протоколы TLSv1.1 и TLSv1.2 с учетом заданного диапазона в NSS. При необходимости администратор может определить допустимый диапазон версий SSL для взаимодействия с Directory Server из консоли.
pwdChecker в OpenLDAP
В целях обеспечения соответствия стандарту PCI была добавлена библиотека
pwdChecker
для OpenLDAP.
SSSD: переопределение автоматически обнаруженного сайта AD
По умолчанию Active Directory выполняет автоматическое обнаружение сайта, к которому будет подключен клиент, что не гарантирует выбор наиболее подходящего сайта. С помощью параметра
ad_site
в секции [domain/NAME]
в /etc/sssd/sssd.conf
администратор может вручную определить сайт, к которому будет подключаться SSSD. Подробное описание ad_site
можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
certmonger поддерживает SCEP
certmonger
обновлен и теперь поддерживает протокол SCEP (Simple Certificate Enrollment Protocol) для автоматического получения сертификатов.
Оптимизация операций удаления групп на Directory Server
Раньше операции удаления групп выполнялись рекурсивно, что при наличии большого количества вложенных групп занимало много времени. Новый параметр
memberOfSkipNested
позволяет отключить рекурсивную проверку групп, тем самым значительно улучшив скорость удаления.
SSSD поддерживает переопределение атрибутов пользователей при переходе с WinSync на модель доверительных отношений
Новая концепция
ID-представлений
(ID View) помогает перевести пользователей IdM с WinSync на инфраструктуру, использующую модель отношений доверия между областями. За подробной информацией обратитесь к документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD: localauth для Kerberos
Новый модуль
localauth
для локальной авторизации Keberos автоматически сопоставляет учетные записи Kerberos с локальными пользователями SSSD, что полностью снимает необходимость в параметре auth_to_local
в krb5.conf
. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD: выборочный доступ к приложениям без права доступа к системе
Новый параметр
domains=
модуля pam_sss
переопределяет одноименное значение в /etc/sssd/sssd.conf
. Параметр pam_trusted_users
позволяет определить список доверенных пользователей (по UID или именам), а pam_public_domains
— список доменов, которые будут доступны даже непроверенным пользователям. На основе этих правил можно создать схему, разрешающую обращение отдельных пользователей к определенным приложениям, но не к самой системе. Более детально это обсуждается в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD: согласование окружения пользователя между AD и IdM
SSSD позволяет обращаться к атрибутам POSIX на сервере Active Directory, находящегося в доверительных отношениях с IdM (Identity Management). Теперь администратор может передать информацию об оболочке пользователя с сервера Active Directory клиенту IdM, после чего соответствующий атрибут будет доступен на клиенте IdM. Это обновление обеспечивает согласование окружений в пределах всей организации. Надо отметить, что в настоящее время атрибут
homedir
клиента IdM отражает значение subdomain_homedir
с сервера Active Directory. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD: получение списка групп пользователя Active Directory
Пользователи AD из доменов в лесу AD, находящихся в доверительных отношениях с IdM (Identity Management), теперь могут идентифицировать свой список групп до авторизации, благодаря чему стало возможным получить сведения о группах пользователей AD с помощью
id
.
getcert допускает получение сертификатов без запуска certmonger
getcert
позволяет запросить сертификат во время автоматической регистрации клиентов IdM (Identity Management) без необходимости запуска certmonger
. Это возможно только при условии, что dbus-daemon выключен. При этом certmonger
возьмет контроль над сертификатом только после перезагрузки.
SSSD: сохранение регистра букв в идентификаторах пользователей
Параметр
case_sensitive
может принимать значения true
, false
и preserve
. Новое значение preserve
, в отличие от false
, не переводит все символы в нижний регистр, хотя позволяет его игнорировать при поиске соответствий. Идентификаторы пользователей хранятся на сервере с учетом регистра, что отражается при выводе.
SSSD: запрет доступа по SSH для заблокированных пользователей
Раньше SSSD не учитывал факт блокирования учетной записи сервером OpenLDAP, вследствие чего пользователи могли подключаться к системе с использованием SSH-ключа даже после истечения срока действия их учетных записей. Эта проблема решается присвоением параметру
ldap_access_order
значения ppolicy
. Подробную информацию можно найти на справочной странице sssd-ldap(5)
.
SSSD: объекты групповой политики на сервере Active Directory
SSSD допускает использование объектов групповой политики (GPO) на сервере Active Directory, что позволяет имитировать функциональность, широко применяемую клиентами Windows, и использовать один набор правил для управления доступом к компьютерам с операционными системами Windows и Unix. В свою очередь, администраторы Windows смогут управлять доступом к клиентам Linux с применением уже знакомых им объектов GPO. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html