Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 3 章 身份验证和互操作性

SSSD 智能卡支持

SSSD 的本地验证现在支持智能卡。用户可以使用智能卡通过基于文本的或图形化控制台来登录系统或本地服务,如 sudo 服务。用户将智能卡插入读卡器并在登录提示下提供用户名和智能卡 PIN。如果智能卡上的证书通过检验,用户就可以成功地验证。
请注意,SSSD 目前还不支持用户通过智能卡获取 Kerberos 票据。要获取 Kerberos 票据,请使用 kinit 工具进行验证。
要在 Red Hat Enterprise Linux 6 中启用智能卡支持,则必须修改 /etc/pam.d/password-auth/etc/pam.d/system-auth PAM 配置文件中的 auth 行,以允许 SSSD 提示输入密码、一次性密码(OTP)或者智能卡 PIN。有关详情,请查看《身份管理指南》:http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards

在 SSSD 中的缓存身份验证

即使处于在线模式,现在也可在 SSSD 中无需重新连接即可使用缓存进行身份验证。反复对网络服务器进行验证可导致应用程序延时间过长,从而使登录过程消耗大量时间。

现在可以禁用 IdM 服务器兼容性插件树中的 ou=sudoers,$DC 部分以获得更好的性能

身份管理(ldM)客户端现在可以在 ldM 服务器 LDAP 树的 cn=sudorules,cn=sudo,$DC 中查找 sudo 规则,而无需在 slapi-nis 目录服务器创建生成的 ou=sudoers,$DC 兼容性树中查找。
在不需要兼容性树进行其他操作的环境中,比如旧客户端支持,用户现在可禁用该树的 ou=sudoers,$DC 部分。这样可获得更好的性能,因为使用 slapi-nis 生成兼容性树极其消耗资源,特别是需要大量身份认证操作的环境。

SSSD 为独立客户端启用了 UID 和 GID 映射

现在可以使用由 sss_override 提供的 SSSD,通过客户端配置将用户与具体 Red Hat Enterprise Linux 客户端中的不同 UID 和 GID 映射。这种客户端覆盖也许能够解决由 UID 和 GID 重复引起的问题,或者简化从原来使用不同 ID 映射的旧系统的转换。
注:覆盖内容保存在 SSSD 缓存中;因此删除该缓存也会删除这些覆盖内容。有关此功能的详情,请查看 sss_override(8) man page。

缓存 initgroups 操作

SSSD 快速内存缓存现在支持 initgroups 操作,这可以加快 initgroups 处理速度,并改进一些应用程序的性能,比如 GlusterFS 和 slapi-nis

新软件包:adcli

这个更新在 Red Hat Enterprise Linux 6 中添加 adcli 软件包。adcli 工具允许用户在 Red Hat Enterprise Linux 6 客户端中管理 Active Directory(AD)中的主机、用户和组对象。该工具的主要应用是在 AD 域中添加主机,并更新该主机的凭据。
adcli 工具可识别网站,且不需要额外的配置即可加入 AD 域。在运行 SSSD 服务的客户端中,adcli 可常规更新主机凭据。

SSSD 现在可以自动更新加入 AD 的 Linux 客户端的主机凭据

某些 Windows 工具可以在其密码长期未更新的情况下从 Active Directory(AD)中删除主机,因为这些工具会将此类客户端视为不活跃。
使用这个功能,会常规更新加入 AD 的 Linux 客户端主机密码,以表示该客户端仍处于活跃状态。这样就不会在上述情况下删除加入 AD 的 Red Hat Enterprise Linux 客户端。

SSSD 现在可以在使用超大 RID 的环境中调整 ID 范围

SSSD 服务中包含的自动 ID 映射机制现在可以合并 ID 范围域。之前,如果 Active Directory(AD)的相对 ID(RID)超过 200000,即 SSSD 默认分配的 ID 范围,则需要管理员手动调整 SSSD 分配的 ID 范围以对应 RID。
在这个增强版中对于启用 ID 映射的 AD 客户端,SSSD 会自动在上述情况下调整 ID 范围。这样管理员就不再需要手动调整 ID 范围,并可在超大 AD 环境中使用默认 SSSD ID 映射机制。

SSSD 现在支持不同域控制器中的 GPO

将 SSSD 更新为支持不同域控制器中的组策略对象(GPO)。