第 13 章 认证和互操作性

手动备份和恢复功能

这个更新为身份管理(Identity Management,IdM)引进了 ipa-backupipa-restore 命令,可让用户手动备份其 IdM 数据,并在硬件出问题时恢复该数据。详情请查看 ipa-backup(1)ipa-restore(1) manual page,或者参考 《Linux 域、身份及策略指南》中的文档。

支持 WinSync 到 Trust 的迁移

这个更新采用新的用户配置 ID Views 机制。该机制可将身份管理(Identity Management)用户从 Active Directory 使用的基于同步的 WinSync 架构,迁移到基于跨域信托的架构。有关 ID Views 及迁移步骤的详情,请查看 《Windows 整合指南》中的文档。

一次性密码认证

加大认证安全的最佳方法之一是采用双因素身份验证(2FA)。最常用的方法是使用一次性密码(OTP)。这项技术最初在专用空间使用,但随着时间的推移,出现了一些开源标准(HOTP: RFC 4226,TOTP: RFC 6238)。Red Hat Enterprise Linux 7.1 中的身份管理包括第一次使用的标准 OTP 机制。有关详情,请查看文档《系统级身份认证指南》

为通用互联网文件系统整合 SSSD

已添加一个插件界面,该界面由 SSSD 提供,用来配置 cifs-utils 程序执行 ID 映射的方法。结果是 SSSD 客户端现在可以与运行 Winbind 服务的客户端一样访问 CIFS 共享。详情请查看文档《Windows 整合指南》

证书授权管理工具

在身份管理(IdM)客户端添加 ipa-cacert-manage renew 命令,这样就可以更新 IdM 证书授权(CA)文件,以便用户使用外部 CA 签署的文件顺利安装并设置 IdM。有关此功能的详情请查看 ipa-cacert-manage(1) manual page。

增大访问控制精度

现在可以调整身份管理(IdM)服务器 UI 中具体部分的读取权限,允许 IdM 服务器管理员限制对某些特殊内容的访问,即仅允许所选用户访问。另外,IdM 服务器的授权用户不再默认拥有所有内容的读取权限。这些变化提高了 IdM 服务器数据的总体安全。

特权用户的有限域访问

pam_sss 模块中添加 domains= 选项,该选项可覆盖 /etc/sssd/sssd.conf 文件中的 domains= 选项。另外,这个更新还添加了 pam_trusted_users 选项,允许用户添加 SSSD 守护进程信任的数字 UID 或者用户名列表; 还添加了 pam_public_domains 选项以及不可信用户也可访问的域列表。上述附加选项可允许一般用户在其没有登录权限的系统中访问指定的应用程序。有关此功能的详情请查看文档《Linux 域身份、认证及策略指南》

自动数据提供程序(Automatic data provider)配置

现在 ipa-client-install 命令默认将 SSSD 配置为 sudo 服务的数据提供程序。可使用 --no-sudo 选项禁用这个行为。此外还添加了为身份管理客户端安装指定 NIS 域名的 --nisdomain 选项,添加了避免设置 NIS 域名的 --no_nisdomain 选项。如上述两个选项均未使用,则使用 IPA 域。

AD 和 LDAP sudo 提供程序用法

AD 提供程序是与 Active Directory 服务器连接的后端程序。在 Red Hat Enterprise Linux 7.1 中将 AD sudo 提供程序与 LDAP 提供程序一同使用作为技术预览支持。要启用 AD sudo 提供程序,请在 sssd.conf 文件的 domain 部分添加 sudo_provider=ad 设置。

弃用 krb5-server 和 krb5-server-ldap 32 位版本

今后不再发布 Kerberos 5 Server 的 32 位版本,并从 Red Hat Enterprise Linux 7.1 版本开始弃用以下软件包:krb5-server.i686krb5-server.s390krb5-server.ppckrb5-server-ldap.i686krb5-server-ldap.s390krb5-server-ldap.ppc。没有必要在 Red Hat Enterprise Linux 7 中发布 krb5-server 的 32 位版本,因为只在以下架构中支持该版本:AMD64 和 Intel 64 系统(x86_64)、64 位 IBM Power Systems 服务器(ppc64)及 IBM System z(s390x)。

SSSD 利用 GPO 策略定义 HBAC

SSSD 现在可使用保存在 AD 服务器中的 GPO 对象进行访问控制。这个改进模拟 Windows 客户端功能,并可使用一组访问控制规则同时处理 Windows 和 Unix 机器。实际上,Windows 管理员现在可使用 GPO 控制对 Linux 客户端的访问。

用于 IPA 的 Apache 模块

从 Red Hat Enterprise Linux 7.1 开始提供一组 Apache 模块作为技术预览。外部应用程序可使用这些 Apache 模块与身份管理更紧密地互动,效果远远好于简单认证。

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。