Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 3 章 认证和互操作性

身份管理默认设置一个单向信任

ipa trust-add 命令现在默认配置单向信任。单向信任使 Active Directory (AD)中的用户和组能够访问身份管理(IdM)中的资源,而不是其它方式。在以前的版本中,运行 ipa trust-add 配置的默认信任是一个双向信任。
IdM 仍然允许管理员通过向 ipa trust-add 添加 --two-way=true 选项来设置双向信任。

OpenLDAP rebase 到版本 2.4.40

openldap 软件包已升级到上游版本 2.4.40,它提供很多程序错误修复和增强。值得注意的是,ORDERING 匹配规则已添加到 ppolicy 属性类型描述中。修复了修复的错误:服务器在处理 SRV 记录时不再意外终止,并且添加了缺少的 objectClass 信息,从而让用户能够根据标准修改前端配置。

SSSD 中的缓存身份验证

现在,SSSD 中也提供了针对没有重新连接尝试的缓存进行身份验证,即使在在线模式下也是如此。直接对网络服务器进行身份验证可能会导致应用程序延迟,这可能会使登录过程非常耗时。

SSSD 在单独的客户端上启用 UID 和 GID 映射

现在,可以使用 SSSD 通过客户端配置将用户映射到特定 Red Hat Enterprise Linux 客户端上的不同 UID 和 GID。此客户端覆盖可能会解决 UID 和 GID 重复导致的问题,或者简化从之前使用不同的 ID 映射的传统系统过渡。
请注意,覆盖存储在 SSSD 缓存中;删除缓存也会删除覆盖。

SSSD 现在可以拒绝对锁定帐户的 SSH 访问

在以前的版本中,当 SSSD 使用 OpenLDAP 作为其身份验证数据库时,即使用户帐户被锁住,用户可以使用 SSH 密钥成功向系统进行身份验证。ldap_access_order 参数现在接受 ppolicy 值,该值可能会拒绝对上述情况下用户的 SSH 访问。有关使用 ppolicy 的更多信息,请参阅 sssd-ldap (5)手册页中的 ldap_access_order 描述。

sudo 工具现在可以验证命令校验和

sudo 工具的配置现在可以存储允许的命令或脚本的校验和。当再次运行命令或脚本时,校验和将与存储的校验和进行比较,以验证没有任何变化。如果修改了命令或二进制文件,sudo 工具会拒绝运行命令或记录警告。此功能使得在发生事件时可以正确地处理职责和问题。

SSSD 智能卡支持

SSSD 现在支持智能卡进行本地身份验证。使用这个特性,用户可以使用智能卡使用基于文本的或图形控制台以及本地服务(如 sudo 服务)登录到系统。用户将智能卡放在读卡器中,并在登录提示符下提供用户名和智能卡 PIN。如果验证智能卡中的证书,该用户会被成功验证。
请注意,SSSD 目前不会让用户使用智能卡获取 Kerberos 票据。要获得 Kerberos 票据,用户仍然需要使用 kinit 工具进行身份验证。

支持多个证书配置文件和用户证书

身份管理现在支持多个配置文件来发布服务器和其他证书,而不是只支持单个服务器证书配置文件。配置集存储在目录服务器中,并在 IdM 副本之间共享。
另外,管理员可以向单个用户发布证书。在以前的版本中,只能向主机和服务发布证书。

Password Vault

在身份管理中添加了允许安全存储私有用户信息(如密码和密钥)的新功能。密码 Vault 基于公钥基础架构(PKI)密钥恢复授权(KRA)子系统基础上构建。

身份管理中的 Kerberos HTTPS 代理

使用 Microsoft Kerberos KDC 代理协议(MS-KKDCP)实现的密钥分发中心(KDC)代理功能现在包括在身份管理中,并允许客户端访问 KDC 和 kpasswd 服务。系统管理员现在可以通过简单的 HTTPS 反向代理在网络边缘上公开代理,而无需设置和管理专用应用程序。

缓存条目的后台刷新

SSSD 现在允许在后台更新缓存的条目。在此次更新之前,当缓存条目的有效性过期时,SSSD 会从远程服务器获取它们并将其存储在数据库中,这可能会消耗时间。在这个版本中,条目会立即返回,因为后端始终保持更新。请注意,这会导致服务器出现更高的负载,因为 SSSD 会定期下载条目,而不是仅在请求时定期下载条目。

initgroups 操作的缓存

SSSD 快速内存缓存现在支持 initgroups 操作,它提高了 initgroups 处理速度,并提高某些应用程序的性能,如 GlusterFS 和 slapi-nis

使用 mod_auth_gssapi简化身份验证

身份管理现在使用 mod_auth_gssapi 模块,它使用之前使用的 mod_auth_kerb 模块使用的 GSSAPI 调用而不是直接 Kerberos 调用。

用户生命周期管理功能

用户生命周期管理使管理员能够更好地控制激活和停用用户帐户。管理员现在可以通过将新用户帐户添加到 stage 区域而无需完全激活它们,激活不活跃的用户帐户使其完全运行,或者取消激活用户帐户而无需从数据库中完全删除。
用户生命周期管理功能为大型 IdM 部署带来了显著优势。请注意,用户可以使用直接 LDAP 操作直接从标准 LDAP 客户端中添加用户到 stage 区域。在以前的版本中,IdM 只支持使用 IdM 命令行工具或 IdM Web UI 管理用户。

certmonger中的 SCEP 支持

certmonger 服务已更新,以支持简单证书注册协议(SCEP)。现在,可以发布新证书并通过 SCEP 续订或替换现有证书。

IdM 的 Apache 模块现在被完全支持

现在完全支持在 Red Hat Enterprise Linux 7.1 中作为 技术预览添加的以下 Apache 模块(IdM): mod_authnz_pammod_lookup_identitymod_intercept_form_submit。外部应用程序可以使用 Apache 模块来实现在简单身份验证之外与 IdM 紧密交互。

NSS 提高最低接受的键强度值

Red Hat Enterprise Linux 7.2 中的网络安全服务(NSS)库不再接受小于 768 位的密钥交换参数,也不会接受小于 1023 位的密钥大小的 RSA 和 DSA 证书。增加最低接受的密钥强度值可防止利用了已知的安全漏洞,如 Logjam (CVE-2015-4000)和 FREAK (CVE-2015-0204)。
请注意,尝试使用比新最小值更弱的密钥连接到服务器会失败,即使这样的连接在以前的 Red Hat Enterprise Linux 版本中可以正常工作。

NSS 默认启用 TLS 版本 1.1 和 1.2

使用 NSS 默认启用的协议版本的应用程序现在还支持 TLS 版本 1.1 和 TLS 版本 1.2 协议。

现在支持 ECDSA 证书

使用默认 NSS 密码列表的应用程序现在支持连接到使用 Elliptic Curve Signature Algorithm (ECDSA)证书的服务器。

OpenLDAP 自动选择 NSS 默认密码套件

OpenLDAP 客户端现在会自动选择网络安全服务(NSS)默认密码套件与服务器通信。不再需要在 OpenLDAP 源代码中手动维护默认密码套件。

现在支持将 IdM 服务器配置为信任代理

身份管理(IdM)区分两种类型的 IdM 主服务器:信任控制器和信任代理。信任控制器运行建立和维护信任所需的所有服务;信任代理只运行必要的服务,以便提供信任 Active Directory 林到使用这些 IdM 服务器注册的 IdM 客户端。
默认情况下,运行 ipa-adtrust-install 命令将 IdM 服务器设置为信任控制器。要将另一个 IdM 服务器配置为信任代理,请将 --add-agents 选项传给 ipa-adtrust-install

现在支持从 WinSync 自动迁移到信任

新的 ipa-winsync-migrate 工具允许使用 WinSync 基于 Active Directory (AD)信任从基于同步的集成无缝迁移。该工具会自动从指定的 AD 林迁移使用 WinSync 同步的所有用户。在以前的版本中,从同步迁移到信任只能使用 ID 视图手动执行。
有关 ipa-winsync-migrate 的更多信息,请参阅 ipa-winsync-migrate (1)手册页。

多步骤提示输入一次性密码和长期密码

将一次性密码(令牌)与长期密码登录时,会单独提示用户输入这两个密码。这在使用一次性密码以及更安全的长期密码提取时带来更好的用户体验,这将允许使用长期密码缓存用于离线身份验证。

OpenLDAP 的 LPK 模式现在以 LDIF 格式提供

LDIF 是 OpenLDAP 导入模式的新默认格式,openssh-ldap 软件包现在还提供 LDIF 格式的 LDAP 公钥(LPK)模式。因此,管理员可以在设置基于 LDAP 的公钥身份验证时直接导入 LDIF 模式。

Cyrus 可以再次对 AD 和 IdM 服务器进行身份验证

cyrus-sasl 软件包的上游发行版本引入了一个非后向兼容的更改,它会阻止 Cyrus 对旧的 SASL 实现进行身份验证。因此,Red Hat Enterprise Linux 7 无法对 Active Directory (AD)和 Red Hat Enterprise Linux 6 Identity Management (IdM)服务器进行身份验证。现在,上游更改已被恢复,Cyrus 现在可以按预期对 AD 和 IdM 服务器进行身份验证。

SSSD 支持覆盖自动发现的 AD 站点

默认自动发现客户端连接的 Active Directory (AD) DNS 站点。但是,默认的自动搜索可能无法发现某些设置中最合适的 AD 站点。在这种情况下,您现在可以使用 /etc/sssd/sssd.conf 文件的 [domain/NAME] 部分中的 ad_site 参数手动定义 DNS 站点。

添加了对 SAML ECP 的支持

lasso 软件包已更新至版本 2.5.0,mod_auth_mellon 软件包已 rebase 到版本 0.11.0,以便添加对安全断言标记语言(SAML)增强的客户端或代理(ECP)的支持。SAML ECP 是一个替代 SAML 配置文件,允许非浏览器的单点登录(SSO)。

winbindd 服务不再在其默认配置中列出组成员资格

Samba 版本 4.2.0 及之后的版本中的 winbindd 服务不再列出组成员资格来显示目的。在某些情况下,比如在带有可信域的环境中,并不总是能够可靠地提供此信息。为防止提供不准确信息的风险,默认的 winbindd 配置已更改为 winbind 扩展组 = 0, 这将禁用之前的行为。请注意,一些命令(如 guestfish group 命令)之前依赖此功能,且行为可能并不像以前一样。