第 3 章 身份验证和互操作性

身份管理(Identity Management)默认设置单向信任(One-way Trust)。

现在可使用 ipa trust-add 命令默认配置单向信任。单向信任可让 Active Directory(AD)中的用户和组访问身份管理(IdM)指定资源,反之则不可行。之前,ipa trust-add 命令配置的默认信任为双向信任。
IdM 仍可允许管理员通过在 ipa trust-add 命令中添加 --two-way=true 选项设置双向信任。

openldap 恢复至版本 2.4.40

已将 openldap 软件包升级为上游版本 2.4.40,相比之前的版本,它提供了大量的程序错误修复和一处改进。值得注意的是在 ppolicy 属性类型描述中添加了 ORDERING 映射规则。修复的程序错误包括:处理 SRV 记录时,服务器不再异常终止;添加了缺失的 objectClass 信息,以便用户可以通过标准方法修改前端配置。

在 SSSD 中的缓存身份验证

即使处于在线模式,现在也可在 SSSD 中无需重新连接即可对缓存进行验证。反复对网络服务器进行验证可导致应用程序延时间过长,从而使登录过程消耗大量时间。

SSSD 为独立客户端启用了 UID 和 GID 映射

现在可以使用 SSSD,通过客户端配置将用户与具体 Red Hat Enterprise Linux 客户端中的不同 UID 和 GID 映射。这种客户端覆盖能够解决由 UID 和 GID 重复引起的问题,或者简化从原来使用不同 ID 映射的旧系统的转换。
注:覆盖内容保存在 SSSD 缓存中;因此删除该缓存也会删除这些覆盖内容。

SSSD 现在可以拒绝已锁帐号的 SSH 访问

之前当 SSSD 将 OpenLDAP 用作其验证数据库时,即使用户帐号已被锁住,用户也可以使用 SSH 密钥成功验证进入系统。ldap_access_order 参数现在接受 ppolicy 值,这可以拒绝某些情况下用户的 SSH 访问。关于 ppolicy 的更多信息,请参考 sssd-ldap(5) 手册页中的 ldap_access_order 描述。

sudo 工具现在可检验命令的校验和

sudo 工具的配置现在会存储允许的命令或脚本的校验和。当命令和脚本再次运行时,其校验和将和存储的校验和进行比较以检查是否有变化。如果命令或二进制文件有改动,sudo 工具将拒绝运行该命令或记录警告信息。在事故发生时,可使用这个功能正确地移交责任并解决问题。

SSSD 智能卡支持

SSSD 的本地验证现在支持智能卡。用户可以使用智能卡通过基于文本的或图形化控制台来登录系统或本地服务,如 sudo 服务。用户将智能卡插入读卡器并在登录提示下提供用户名和智能卡 PIN。如果智能卡上的证书通过检验,用户就可以成功地验证。
请注意,SSSD 目前还不支持用户通过智能卡获取 Kerberos 票据。要获取 Kerberos 票据,请使用 kinit 工具进行验证。

多证书配置文件及用户证书支持

现在,身份管理(Identity Management)在发布服务器及其他证书时在支持用多个配置,而不是单一服务器证书配置。该配置保存在目录服务器(Directory Server)中,且可在 IdM 副本间共享。
另外,现在管理员可以为独立用户发布证书。之前只能为主机及服务发布证书。

密码库

这个新功能允许对私有用户信息(如添加至身份管理中的密码和密钥)的安全集中存储。密码库(Password Vault)构建在公钥基础设施(PKI)密钥恢复授权(KRA)子系统之上。

身份管理(Identity Management)中的 Kerberos HTTPS 代理

身份管理现在有了可与 Microsoft Kerberos KDC 独立服务器协议(MS-KKDCP)实现互用的密钥分发中心(Key Distribution Center,KDC)代理功能,它允许客户通过 HTTPS 访问 KDC 和 kpasswd 服务。系统管理员现在可以使用简单的 HTTPS 反向代理在网络边缘开放这个代理,而不需要设置和管理专门的应用程序。

缓存条目的后台刷新

SSSD 现在允许在后台更新缓存的条目。在这次更新前,缓存条目的有效性过期后,SSSD 从远程服务器获取这些条目并重新存入数据库,这会很耗时。这次更新后,因为后台一直保持这些条目的最新状态,所以可随时将其立即返回。请注意,这会导致服务器的更高负载,因为 SSSD 会定期地而不是在有请求时才下载这些条目。

缓存 initgroups 操作

SSSD 的快速内存缓存现在支持 initgroups 操作,加快了 initgroups 的处理速度,并提高了某些应用程序的性能,如 GlusterFS 和 slapi-nis

协商验证(Negotiate authentication)使用 mod_auth_gssapi 模块 (使用 mod_auth_gssapi 模块的协商验证(Negotiate authentication))

身份管理现在使用 mod_auth_gssapi (模块),它用 GSSAPI 调用替代 mod_auth_kerb 模块之前使用的直接 Kerberos 调用。

用户生命周期管理能力

用户生命周期管理让管理员可以更大程度上地控制用户帐号的激活和取消激活。管理员现在可以通过将用户添加至临时区域来准备新用户帐号,而无需完全激活它们;激活不活跃的用户帐号使其成为活跃的帐号;或在无需从数据库中完全删除它们的情况下,取消激活用户帐号。
用户生命周期管理能力为大型 IdM 部署带来了显著的益处。请注意,通过直接 LDAP 操作,用户可以从标准的 LDAP 客户端直接添加至临时区域。以前,IdM 只支持通过 IdM 命令行工具或 Web 用户界面来管理用户。

certmonger 中对 SCEP 的支持

certmonger 服务现在已更新,它支持简单证书注册协议(Simple Certificate Enrollment Protocol,SCEP)。现在可以通过 SCEP 发行新的证书并更新或替换现有的证书。

现在完全支持用于 IdM 的 Apache 模块了

现在为以下用于身份管理(Identity Management,IdM)的 Apache 模块提供全面支持,之前是作为技术预览添加到 Red Hat Enterprise Linux 7.1:mod_authnz_pammod_lookup_identitymod_intercept_form_submit。外部应用程序可以使用 Apache 模块来实现与 IdM 更紧密的互动,而不是单纯提供验证。

NSS 提高了可接受密钥长度最小值

Red Hat Enterprise Linux 7.2 中的网络安全服务(Network Security Services,NSS)库不再接受小于 768 位的 Diffie-Hellman (DH) 密钥交换参数,以及密钥长度小于 1023 位的 RSA 或 DSA 证书。增大可接受密钥的最小长度值可防止利用已知安全漏洞的攻击,例如 Logjam (CVE-2015-4000) 和 FREAK (CVE-2015-0204)。
请注意,用小于最新长度限制的密钥链接服务器会失败,在之前的 Red Hat Enterprise Linux 版本中这样做是可行的。

NSS 默认启用 TLS 版本 1.1 和 1.2

使用 NSS 默认启用协议版本的应用程序现在还支持 TLS 版本 1.1 和 TLS 版本 1.2 协议。

现在支持 ECDSA 证书

使用默认 NSS 加密列表的应用程序现在支持与使用椭圆曲线数字签名算法(ECDSA)的服务器的连接。

OpenLDAP 自动选择 NSS 默认加密套件

OpenLDAP 客户端现在自动选择网络安全服务(NSS)默认加密套件与服务器进行通讯。不再需要在 OpenLDAP 源代码中手动维护默认加密套件。

现在支持将 IdM 服务器配置为可信代理

Identity Management(IdM)可区分两种 IdM 主服务器类型:即可信控制器和可信代理。可信控制器运行建立和维护信任所需的所有服务;而可信代理只运行在可信 Active Directory 丛中为使用这些 IdM 服务器注册的 IdM 客户端提供用户和组提供解决方案所需的服务。
默认情况下,可运行 ipa-adtrust-install 命令将 IdM 服务器设置为可信服务器。要将另一个 IdM 配置为可信代理,请在 ipa-adtrust-install 命令中添加 --add-agents 选项。

现在支持自动从 WinSync 迁移到信任

使用新的 ipa-winsync-migrate 程序可无间隙地将使用 WinSync 基于同步的整合迁移至基于 Active Directory(AD)信任的整合。该程序可将所有使用 WinSync 同步的用户从指定 AD 林中迁移。之前,只能和使用 ID 视图手动执行从同步到信任之间的迁移。
有关 ipa-winsync-migrate 的详情,请查看 ipa-winsync-migrate(1) man page。

一次性及长期使用密码的多步骤提示

将一次性密码(令牌)与用于登录的长期密码一同使用时,会为该用户分别提示两个密码。这样可在使用一次性密码及提取更安全的长期密码时有更好的客户体验,后者可缓存用于离线认证的长期密码。

OpenLDAP 的 LPK 方案现在可以使用 LDIF 格式

LDIF 是一种用于 OpenLDAP 导入方案的新默认格式,同时 openssh-ldap 软件包现在还在 LDIF 格式中提供 LDAP 公钥(LPK)方案。因此,管理员可在设置基于 LDAP 的公钥认证时直接导入 LDIF 方案。

Cyrus 可在此认证 AD 和 IdM

cyrus-sasl 软件包的上游发行本引进了非向后兼容更改,以防止 Cyrus 根据旧的 SASL 实施进行认证。因此,Red Hat Enterprise Linux 7 无法为 Active Directory(AD)及 Red Hat Enterprise Linux 6 Identity Management(IdM)服务器提供认证。目前已恢复这项上游更改,Cyrus 现在可以如预期认证 AD 和 IdM 服务器。

SSSD 支持覆盖自动找到的 AD 网站

默认会自动找到客户端连接的 Active Directory(AD)DNS 站点。但默认的自动搜索可能不会找到最适合某些设置的 AD 站点。如果是这种情况,现在可以使用 /etc/sssd/sssd.conf 文件 [domain/NAME] 部分的 ad_site 参数手动定义 DNS 站点。

已添加 SAML ECP 支持

lasso 软件包已恢复至版本 2.5.0,同时将 mod_auth_mellon 软件包恢复至版本 0.11.0,以便添加安全声明标记语言(SAML)增强客户端或代理服务器(ECP)支持。SAML ECP 是 SAML 配置文件的替代版本,允许不使用浏览器进行单点登录(SSO)。

winbindd 服务不会在其默认配置中列出组成员关系

Samba 版本 4.2.0 以及之后版本中的 winbindd 服务不再因显示的目的列出组成员关系。在某些情况下,比如在使用可信域的环境中,它不会总是提供此信息。要防止出现提供错误信息的风险,已将默认 winbindd 配置改为 winbind expand groups = 0,这样可禁用之前的行为。注:有些之前会依赖此功能的命令行为可能会有变化,比如 getent group