在 RHEL 8 中,authselect 代替了 authconfig 实用程序。authselect 对 PAM stack 管理的方式更加安全，它使系统管理员对 PAM 配置变得更加简单。authselect 可以用来配置身份验证方法，如密码、证书、智能卡和指纹。authselect 不配置加入远程域所需的服务。此任务由特殊工具执行，比如 realmd 或 ipa-client-install。

在 RHEL 8 中,默认的凭证缓存存储是 Kerberos Credential Manager(KCM),它由 sssd-KCM deamon 提供支持。KCM 带有之前使用的密钥环的限制,如它在容器化环境中很难使用,因为它没有命名空间,并用来查看和管理配额。

在这个版本中,RHEL 8 包括了 一 个适合容器化环境的凭证缓存,为在以后的版本中构建更多功能提供了基础。

在这个版本中，SSSD 的 ssctl 工具可以打印一个 Identity Management(IdM)域的访问控制报告。出于规范考虑,该功能满足了某些环境的需要,可访问特定客户端机器的用户和组列表。在一个 IdM 客户端中运行 sssctl access-report domain_name,可打印应用到客户端机器的 IdM 域中基于主机的访问控制(hbac)规则的解析子集。

请注意,除了 IdM 外，其它供应商都不支持这个特性。

在 RHEL 8 中,SSSD 默认从 /etc/passwd 和 /etc/groups为用户和组提供服务。sss nsswitch 模块先于 /etc/nsswitch.conf 中的文件。

通过 SSSD 为本地用户提供服务的好处是, nss_sss 模块具有一个快速的 内存映射缓存,它比访问磁盘并在每个 NSS 请求上打开文件,可加快名称服务切换(NSS)查找速度。之前, Name 服务缓存守护进程(nscd)可帮助加快访问磁盘的过程。但是,在 SSSD 并行使用 nscd 时会很麻烦,因为 SSSD 和 nscd 都使用它们自己的独立缓存。因此,在 SSSD 还从远程域（如 LDAP 或 Active Directory）为用户提供服务的设置中使用 nscd 会导致无法预计的行为。

因此，在 RHEL 8 中，本地用户和组的解析速度更快。请注意，root 用户永远不会被 SSSD 处理，因此 root 解析不会受到 SSSD 中的潜在错误的影响。还请注意,如果 SSSD 没有运行, nss_sss 模块会通过回退到 nss_files 来轻松处理这种情况,以避免出现问题。您不必使用任何方法配置 SSSD,文件域会自动添加。

在默认情况下,SSSD(SSSD)会尝试探测智能卡验证的设备。如果连接了多个设备,SSSD 会选择它探测到的第 一 个设备。因此,您无法选择 一 个特定的设备,这有时会导致失败。

在这个版本中,您可以为 sssd.conf 配置文件的 [pam] 部分配置新的 p11_uri 选项。这个选项允许您定义使用哪个设备进行智能卡验证。

例如,要选择 OpenSC PKCS#11 模块检测到的插槽 id 2 的 reader,请添加：

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

到 sssd.conf 的 [pam] 部分。

详情请查看 man sssd.conf 页面。