第 19 章 身份验证和互操作性

AD 和 LDAP sudo 提供程序的使用

Active Directory(AD)提供程序是用来连接 AD 服务器的后端程序。在 Red Hat Enterprise Linux 7.2 中,将 AD sudo 提供程序与 LDAP 提供程序一同使用作为技术预览支持。要启用 AD sudo 提供程序,请在 sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。

DNSSEC 在身份管理中作为技术预览提供

集成 DNS 的身份管理服务器现在支持 DNS 安全扩展(DNS Security Extensions,DNSSEC),这是一系列增强 DNS 协议安全性的 DNS 扩展。Identity Management 服务器中运行的 DNS 区可以用 DNSSEC 自动签名。加密密钥将自动生成并轮换。
建议决定使用 DNSSEC 保护 DNS 区的用户阅读并遵循这些文档中的说明:
《DNSSEC 操作实践第二版》:http://tools.ietf.org/html/rfc6781#section-2
《安全域名系统部署指南》:http://dx.doi.org/10.6028/NIST.SP.800-81-2
《DNSSEC 主要交换计时注意事项》:http://tools.ietf.org/html/rfc7583
请注意,集成了 DNS 的 Identity Management 服务器使用 DNSSEC 校验从其他 DNS 服务器获得的 DNS 响应。这可能会影响没有按《Red Hat Enterprise Linux 联网指南》中所述命名原则配置的 DNS 区的可用性:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices

用于 Directory Server 的 Nunc Stans 事件框架

添加了同时处理多个连接的新 Nunc Stans 事件框架。该框架可支持数千个活跃连接而不会造成性能降级。默认禁用该功能。

可在 IdM 中查看 JSON-RPC API 的浏览器

这个更新在 Identity Management 中使用用于 JSON-RPC API 的浏览器。可使用该浏览器查看该 API。注:这个功能是实验性的,同时也不支持该 API。

新软件包:ipsilon

ipsilon 软件包为联合单点登录(SSO)提供了 Ipsilon 身份提供程序服务。Ipsilon 链接了验证提供程序和应用程序或工具以允许 SSO。它包含一个服务器和工具来配置基于 Apache 的服务提供程序。
Ipsilon 服务器和 toolkit 是专门用来配置基于 Apache 的身份服务提供程序。该服务器是可插拔独立 mod_wsgi 应用程序,该程序可为网页应用程序提供联合 SSO。
在这个发行本中引进 Ipsilon 作为技术预览。建议客户考虑现在为产品环境整合这个服务。