Глава 2. Аутентификация

ca-certificates 2.4

Пакет ca-certificates обновлен до версии 2.4 и включает ряд исправлений и дополнений, наиболее значимые из которых будут перечислены ниже.
Ранее из Mozilla были исключены данные подтверждения надежности некоторых устаревших сертификатов CA, содержащих 1024-битные ключи RSA. В обновленном пакете ca-certificates подобные сертификаты были оставлены, и теперь Mozilla будет доверять соответствующим центрам сертификации. Это сделано с целью обеспечения совместимости с существующими инфраструктурами PKI и с программным обеспечением, использующим OpenSSL или GnuTLS.
Эта функциональность может быть отключена с помощью команды ca-legacy. Подробную информацию можно найти на справочной странице ca-legacy(8).
Пользователям, не планирующим использовать указанную функциональность, рекомендуется ознакомиться со статьей 1413643 в базе знаний, где обсуждаются возможные последствия ее отключения.
Для нормальной работы команды ca-legacy необходимо наличие единого хранилища сертификатов. Информацию о консолидации сертификатов и создании единого хранилища можно найти на справочной странице update-ca-trust(8).

Поддержка односторонних отношений доверия

Identity Management допускает конфигурацию одностороннего доверия при помощи ipa trust-add.

openldap 2.4.40

Пакеты openldap обновлены до версии 2.4.40, которая включает ряд исправлений и дополнений. В частности, к описанию типов атрибутов ppolicy были добавлены правила ORDERING. Среди улучшений функциональности надо отметить то, что сервер больше не останавливается во время обработки записей SRV, а также добавлена отсутствующая информация objectClass, что позволяет пользователю изменять конфигурацию стандартными методами.

Аутентификация в кэше SSSD

При повторяющихся попытках подключения, в том числе и в режиме онлайн, аутентификация может осуществляться с использованием кэша. Дело в том, что повторная аутентификация непосредственно на удаленном сервере приводит к неоправданным задержкам и к увеличению продолжительности процесса авторизации.

SSSD: индивидуальные UID и GID на разных клиентах

SSSD предоставляет средства для привязки пользователей к различным UID и GID на разных клиентах Red Hat Enterprise Linux. Эта функциональность реализуется на стороне клиента и решает проблемы, которые вызываются дублированием идентификаторов UID и GID.

SSSD: запрет доступа SSH к заблокированным учетным записям

Раньше SSSD не учитывал факт блокирования учетной записи сервером OpenLDAP, вследствие чего пользователи могли подключаться к системе с использованием SSH-ключа даже после истечения срока действия их учетных записей. Эта проблема решается присвоением параметру ldap_access_order значения ppolicy. Подробную информацию можно найти на справочной странице sssd-ldap(5).

Проверка контрольной суммы при исполнении команд sudo

Конфигурация sudo теперь допускает возможность сохранения контрольных сумм исполняемых команд и сценариев. При повтором запуске команды ее контрольная сумма будет сравниваться с сохраненным значением. Если выяснилось, что команда или исполняемый файл подвергались изменениям, sudo сгенерирует предупреждение и запретит их исполнение. Такая функциональность позволит подобрать эффективный подход при анализе инцидентов.

SSSD: поддержка смарт-карт

Использование смарт-карт для локальной аутентификации позволяет осуществить вход в систему, открыть текстовую или графическую консоль, а также авторизоваться в локальных сервисах, в том числе sudo. Для этого необходимо поместить карту в устройство чтения и предоставить имя пользователя и PIN. После успешного подтверждения сертификата смарт-карты пользователь будет авторизован.
В настоящее время SSSD не поддерживает получение билета Kerberos при помощи смарт-карт — для этого по-прежнему придется авторизоваться при помощи kinit.

Многопрофильная поддержка сертификатов

Identity Management теперь допускает использование нескольких профилей для сервера сертификатов. Профили хранятся в системе сертификатов.

Хранилище паролей

Identity Management поддерживает централизованное хранение персональных данных пользователей, в том числе паролей и ключей. Хранилище паролей построено на основе подсистемы KRA PKI (Key Recovery Authority, Public Key Infrustructure).

Поддержка DNSSEC в Identity Management

Серверы Identity Management с интегрированным DNS поддерживают набор расширений DNSSEC (DNS Security Extentions) для дополнительной защиты протокола DNS. Зоны DNS на серверах Identity Management могут автоматически подписываться с использованием DNSSEC. Генерация и замена криптографических ключей будет осуществляться автоматически.
Пользователям, планирующим использовать DNSSEC, следует ознакомиться с документами:
DNSSEC Operational Practices, версия 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
То обстоятельство, что серверы Identity Management с интегрированным DNS используют DNSSEC для валидации ответов, полученных от других DNS-серверов, может повлиять на доступность зон, конфигурация которых отличается от рекомендуемой в соответствии с приведенным в сетевом руководстве Red Hat Enterprise Linux: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices

Прокси-сервер HTTPS Kerberos в Identity Management

Identity Management поддерживает функции для прокси KDC (Key Distribution Center), совместимые с протоколом MS-KKDCP (Microsoft Kerberos KDC Proxy Protocol), которые обеспечивают доступ клиентов к KDC и сервисам kpasswd по HTTPS. Администраторы теперь могут открыть доступ к прокси при помощи простого обратного прокси-сервера HTTPS без необходимости специальной настройки выделенного приложения.

Фоновое обновление кэша

Раньше при обращении к устаревшим данным в кэше SSSD заново получал обновленные записи с удаленного сервера, что при обработке каталогов с большим количеством записей занимало довольно много времени. Теперь обновление кэша происходит в фоновом режиме, и, несмотря на то что его периодическое обновление увеличивает нагрузку на сервер, рост быстродействия при обращении к кэшу оправдывает эти затраты.

Кэширование операций initgroups

SSSD поддерживает кэширование операций initgroups в памяти, что увеличивает скорость их обработки и повышает быстродействие некоторых приложений, в том числе GlusterFS и slapi-nis.

mod_auth_gssapi

Identity Management поддерживает модуль mod_auth_gssapi, который использует вызовы GSSAPI вместо прямых вызовов Kerberos, которые делал старый модуль mod_auth_kerb.

Управление жизненным циклом пользователей

Управление жизненным циклом доступа пользователей позволяет усилить контроль администратора над активацией и деактивацией их учетных записей. Администратор может осуществлять подготовку новых пользователей, добавляя их в промежуточную область, при этом не допуская их немедленной активации, а также отключать их учетные записи, не удаляя их сразу из базы данных.
Подобные возможности дают значительные преимущества в крупномасштабных инфраструктурах IdM. Добавление пользователей в промежуточную область может осуществляться напрямую с клиента LDAP с использованием прямых операций LDAP, в то время как раньше управление пользователями должно было проводиться через веб-интерфейс или при помощи команд IdM.

Поддержка SCEP в certmonger

certmonger поддерживает протокол SCEP (Simple Certificate Enrollment Protocol) для выдачи и обновления сертификатов.

Новые пакеты ipsilon

Пакеты ipsilon предоставляют набор инструментов для провайдера идентификационных данных для реализации единой федеративной аутентификации. Ipsilon позволяет создать связь между провайдерами и приложениями для организации единого входа (SSO, Single Sign-On). В состав ipsilon входят сервер и средства конфигурации сервис-провайдеров на базе Apache.
Аутентификация пользователей для SSO происходит в отдельной системе IdM, например на сервере Identity Management, а взаимодействие Ipsilon с приложениями осуществляется с помощью федеративных протоколов, таких как SAML или OpenID.

Увеличение минимального размера ключей для NSS

Библиотека NSS (Network Security Services) больше не принимает параметры обмена ключами по алгоритму Диффи-Хеллмана размером менее 768 бит и сертификаты RSA и DSA с ключами, размер которых не превышает 1023 бит. Усиление требований к минимальному размеру ключей вводится с целью предотвращения риска эксплуатации уязвимостей Logjam (CVE-2015-4000) и FREAK (CVE-2015-0204).
Попытки подключения к серверу с использованием ослабленных ключей закончатся неудачей, даже если в предыдущих версиях Red Hat Enterprise Linux подключение устанавливалось успешно.

nss и nss-util 3.19.1

Пакеты nss и nss-util обновлены до версии 3.19.1, которая предлагает ряд исправлений и улучшений по сравнению с предыдущими версиями. Среди прочего, это позволяет установить Mozilla Firefox 38 ESR (Extended Support Release) и снижает подверженность риску эксплуатации уязвимости Logjam (CVE-2015-4000).

Поддержка модулей Apache для IdM

Добавлена полная поддержка модулей Apache для Identity Management, которые предлагались в Red Hat Enterprise Linux 7.1 в качестве экспериментальных версий: mod_authnz_pam, mod_lookup_identity, mod_intercept_form_submit.