第 1 章 认证

Directory Server 支持可配置的标准化 DN 缓存

这个更新为类似 memberOf 的插件,及使用很多 DN 语法属性更新条目的操作提供更好的性能。新实施的可配置标准 DN 缓存可让服务器更有效地处理 DN。

使用非密码认证时 SSSD 显示密码过期警告

之前,SSSD 只能在认证阶段验证密码有效性。但在使用非密码认证方法时(比如在 SSH 登录过程中),不会在认证阶段调用 SSSD,就是说它不会执行密码有效性检查。这个更新将检查从认证阶段迁移至帐户阶段。结果是即使在认证过程中没有使用密码,SSSD 也会发出帐户过期警告。详情请查看《部署指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSD 支持附带用户主体名称的登录

除用户名外,现在 SSSD 可使用用户主体名称(User Principal Name,UPN)属性以识别用户及用户登录,这些是 Active Directory 用户可使用的功能。使用这项改进,用户就有可能使用用户名、域或者 UPN 属性作为 AD 用户登录。

SSSD 支持为缓存的条目进行后台刷新

SSSD 允许在后台对缓存的条目进行带外(out-of-band)更新。这个更新前,当缓存的条目失效后,SSSD 会从远处服务器中提取这些条目,并重新保存到数据库中,这样会耗费很长时间。在这个更新中会立即返回这些条目,因为后端会随时保持其更新。注:这样会造成服务器的负载变得较高,因为 SSSD 会周期性下载这些条目,而不是根据需要下载。

Sudo 命令现在支持 zlib 压缩 I/O 日志

sudo 命令现在使用 zlib 构建,支持启用 sudo 生成并处理压缩的 I/O 日志。

新的软件包:openscap-scanner

现在提供新的软件包 openscap-scanner,允许管理员安装并使用 OpenSCAP 扫描器(oscap),同时无需安装 openscap-utils 软件包的所有相依性,这些相依性软件包之前包含扫描器工具。OpenSCAP 扫描器的独立软件包可降低与安装不必要相依性有关的安全隐患。openscap-utils 软件包仍可用,并包含其他工具。建议需要 oscap 工具的用户删除 openscap-utils 软件包,并安装 openscap-scanner 软件包。

如果 NSS 支持,则默认启用 TLS 1.0 或更新的版本

由于 CVE-2014-3566 问题,默认禁用 SSLv3 及更老的协议版本。Directory Server 现在接受 NSS 更安全的 SSL 协议(比如 TLSv1.1 和 TLSv1.2),这些协议是由 NSS 库以范围方式提供。还可以定义与 Directory Server 实例通讯时使用的 SSL 范围。

OpenLDAP 包括 pwdChecker 库

这个更新通过 添加 OpenLDAP pwdChecker 库引进了用于 OpenLDAP 的 Check Password 扩展。在 Red Hat Enterprise Linux 6 中的 PCI 相容需要这个扩展。

SSSD 支持覆盖自动找到的 AD 网站

默认会自动找到客户端连接的 Active Directory(AD)DNS 站点。但默认的自动搜索可能不会找到最适合某些设置的 AD 站点。如果是这种情况,现在可以使用 /etc/sssd/sssd.conf 文件 [domain/NAME] 部分的 ad_site 参数手动定义 DNS 站点。有关 ad_site 的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger 支持 SCEP

已将 certmonger 服务更新为支持简单证书注册协议(SCEP)。现在可通过使用 SCEP 注册从服务器获取证书。

改进 Directory Server 删除操作的性能

之前,如果是删除非常大的静态组,在组删除操作过程中进行的递归性嵌套组查找需要很长时间方可完成。已添加新的 memberOfSkipNested 配置属性可允许跳过嵌套组检查,因此极大改进了删除操作性能。

SSSD 支持 WinSync 到跨域 Trust 的迁移

在 Red Hat Enterprise Linux 6.7 中部署了用户配置的新 ID Views。ID Views 可让身份管理用户从 Active Directory 使用的基于 WinSync 同步的架构迁移到基于 Cross-Realm Trust 的架构。有关 ID Views 以及迁移过程的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持 localauth Kerberos 插件

这个更新为本地认证添加 localauth Kerberos 插件。该插件可保证 Kerberos 主体自动与本地 SSSD 用户名映射。使用这个插件就不再需要使用 krb5.conf 文件中的 auth_to_local 参数。有关该插件的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 在没有系统登录权限的情况下访问指定应用程序

在 pam_sss module 中添加 domains= 选项,用来覆盖 /etc/sssd/sssd.conf 文件中的 domains= 选项。这个更新还添加了 pam_trusted_users 选项,以便用户添加 SSSD 守护进程信任的数字 UID 或用户名列表;此外还添加了 pam_public_domains 选项以及不可信用户可访问域列表。这些新选项可启用一些系统配置,允许常规用户在没有该系统登录权限的情况下访问指定的应用程序。有关详情请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持跨 AD 和 IdM 的一致用户环境

SSSD 服务可读取在 Active Directory(AD)服务器中定义的 POSIX 属性,该服务器与身份识别管理(IdM)之间为可信关系。使用这个更新,管理员可将自定义用户 shell 属性从 AD 服务器传送到 IdM 客户端。然后 SSSD 会在该 IdM 客户端中显示自定义属性。这个更新可让您在整个企业中保持环境的一致性。注:客户端的 homedir 属性目前可显示 AD 服务器的 subdomain_homedir 值。有关详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持在登录前显示 AD 可信用的组

来自 AD 林(AD forest)中的域,且与身份管理(IdM)有信任关系的 Active Directory(AD)用户,可在登录前解析组成员信息。即 id 程序现在不需要这些用户登录即可显示这些用户的组。

getcert 支持在没有 certmonger 的情况下请求证书

在身份管理(IdM)客户端 kickstart 注册过程中使用 getcert 程序请求证书时,不再需要 certmonger 服务处于运行状态。之前尝试这样做会失败,原因是 certmonger 未运行。使用这个更新,getcert 可在上述情况下成功请求证书,条件是未运行 D-Bus 守护进程。注:只有在重启后,certmonger 才开始监控以这种方法获取的证书。

SSSD 支持保留用户识别符的大小写

SSSD 现在支持 case_sensitive 选项的 truefalsepreserve 值。启用 preserve 值后,输入映射会忽略大小写,但输出结果与服务器中的大小写相同。SSSD 为配置的 UID 字段保留原有的大小写。

SSSD 支持拒绝锁定帐户的 SSH 登录访问

之前,SSSD 使用 OpenLDAP 作为其认证数据库时,用户帐户锁定后用户仍可使用 SSH 密钥认证。ldap_access_order 参数现在接受 ppolicy 值,可使用该值拒绝处于上述情况用户的 SSH 访问。有关使用 ppolicy 的详情,请查看 sssd-ldap(5) man page 中的 ldap_access_order 描述。

SSSD 支持在 AD 中使用 GPO

SSSD 现在可使用保存在 Active Directory(AD)服务器中的组策略对象(Group Policy Object,GPO)进行访问控制。这个改进是模拟 Windows 客户端功能,并可使用一组访问控制规则处理 Windows 和 Unix 机器。实际上,Windows 管理员现在可使用 GPO 控制对 Linux 客户端的访问。有关详情请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html