Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 5 章 认​证​和​互​操​作​性​

支​持​ SSH 密​钥​集​中​管​理​

以​前​不​可​能​集​中​管​理​主​机​和​用​户​ SSH 公​钥​ 。​红​帽​企​业​版​ Linux 6.3 包​含​一​项​技​术​预​览​,即​为​身​份​管​理​服​务​器​管​理​ SSH 公​钥​, 自​动​将​身​份​管​理​客​户​端​中​的​ OpenSSH 配​置​为​使​用​保​存​在​身​份​管​理​服​务​器​中​的​公​钥​。​现​在​可​以​集​中​在​身​份​管​理​服​务​器​中​进​行​ SSH 主​机​和​用​户​身​份​管​理​。​

SELinux 用​户​映​射​

红​帽​企​业​版​ Linux 6.3 引​进​了​控​制​远​程​系​统​中​用​户​ SELinux 上​下​文​的​功​能​。​可​定​义​ SELinux 用​户​映​射​规​则​,还​可​自​选​是​否​将​其​与​ HBAC 规​则​关​联​。​这​些​映​射​根​据​其​登​录​的​主​机​及​所​在​组​定​义​用​户​接​受​的​上​下​文​。​当​用​户​登​录​到​根​据​身​份​管​理​后​端​使​用​ SSSD 的​远​程​主​机​时​,会​自​动​根​据​为​该​用​户​定​义​的​映​射​规​则​设​定​用​户​ SELinux 上​下​文​。​有​关​详​情​请​参​考​ http://freeipa.org/page/SELinux_user_mapping。​这​个​功​能​被​视​为​技​术​预​览​。​

要​求​使​用​多​个​方​法​进​行​ sshd 认​证​

现​在​可​将​ SSH 设​定​为​要​求​使​用​多​个​认​证​方​法​(以​前​可​允​许​使​用​多​种​方​法​认​证​,但​只​需​要​一​种​方​法​即​可​成​功​登​录​);例​如​:登​录​到​启​用​了​ SSH 的​机​器​要​求​输​入​密​码​短​语​和​公​钥​。​您​可​在​ /etc/ssh/sshd_config 文​件​中​配​置​ RequiredAuthentications1 和​ RequiredAuthentications2 选​项​,指​定​成​功​登​录​所​需​认​证​。​例​如​:

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
有​关​上​述​ /etc/ssh/sshd_config 选​项​详​情​请​参​考​ sshd_config man page。​
SSSD 支​持​自​动​挂​载​映​射​缓​存​

在​红​帽​企​业​版​ Linux 6.3 中​,SSSD 包​括​一​项​新​的​技​术​预​览​功​能​:支​持​缓​存​自​动​挂​载​映​射​。​这​个​功​能​为​执​行​ autofs 的​环​境​提​供​如​下​优​点​:

  • 缓​存​的​自​动​挂​载​映​射​可​让​客​户​端​机​器​更​轻​松​地​执​行​挂​载​操​作​,即​时​在​ LDAP 服​务​器​不​可​连​接​时​,只​要​还​能​连​接​到​ NFS 服​务​器​就​可​执​行​自​动​挂​载​。​
  • 当​将​ autofs 守​护​进​程​配​置​为​通​过​ SSSD 查​找​自​动​挂​载​映​射​时​,只​需​要​配​置​一​个​文​件​:/etc/sssd/sssd.conf。​以​前​还​必​须​配​置​ /etc/sysconfig/autofs 文​件​方​可​获​得​ autofs 数​据​。​
  • 缓​存​自​动​挂​载​映​射​的​结​果​是​在​客​户​端​提​供​更​快​的​操​作​,同​时​降​低​ LDAP 服​务​器​中​的​流​量​。​
SSSD debug_level 行​为​变​更​

SSSD 已​更​改​ /etc/sssd/sssd.conf 文​件​中​ debug_level 选​项​的​行​为​。​以​前​可​在​ [sssd] 配​置​部​分​中​设​置​ debug_level 选​项​,结​果​是​这​个​设​置​成​为​其​他​配​置​部​分​的​默​认​设​置​,除​非​明​确​说​明​覆​盖​该​设​置​。​

对​内​部​ debug 日​志​功​能​的​一​些​更​改​强​制​在​配​置​文​件​的​每​个​部​分​单​独​指​定​ debug_level 选​项​,而​不​是​从​ [sssd] 部​分​获​取​默​认​配​置​。​
结​果​是​更​新​到​ SSSD 的​最​新​版​本​后​,用​户​需​要​更​新​其​配​置​文​件​方​可​继​续​收​到​同​样​级​别​的​ debug 日​志​。​在​每​台​机​器​中​都​配​置​ SSSD 的​用​户​可​使​用​ Python 程​序​,以​兼​容​方​式​更​新​其​现​有​配​置​。​作​为​ root 运​行​以​下​命​令​可​完​成​此​操​作​:
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
这​个​程​序​对​配​置​文​件​进​行​以​下​修​改​:检​查​是​否​在​ [sssd] 部​分​指​定​ debug_level 选​项​。​如​果​指​定​了​该​选​项​,则​在​没​有​指​定​ debug_level 的​ sssd.conf 文​件​每​个​部​分​添​加​同​样​的​级​别​。​如​果​在​另​一​部​分​中​已​明​确​存​在​ debug_level 选​项​,则​不​要​进​行​任​何​修​改​。​
依​赖​集​中​配​置​管​理​工​具​的​用​户​需​要​在​正​确​的​工​具​中​手​动​进​行​同​样​的​更​该​。​
新​ ldap_chpass_update_last_change 选​项​

在​ SSSD 配​置​中​添​加​了​新​的​ ldap_chpass_update_last_change 选​项​。​如​果​启​用​该​选​项​,则​ SSSD 会​尝​试​将​ shadowLastChange LDAP 属​性​改​为​当​前​时​间​。​请​注​意​:这​只​在​使​用​ LDAP 密​码​策​略​(通​常​用​来​管​理​ LDAP 服​务​器​)的​情​况​下​才​有​效​,即​使​用​ LDAP 扩​展​的​操​作​更​改​密​码​。​还​请​注​意​更​改​密​码​的​用​户​必​须​对​该​属​性​有​写​入​权​限​。​