Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

章 5. 認​證​與​互​通​性​

SSH 金​鑰​的​中​央​管​理​支​援​

先​前​,您​無​法​中​央​管​理​主​機​和​使​用​者​的​ SSH 公​共​金​鑰​。​RHEL 6.3 為​ Identify Management 提​供​了​ SSH 公​共​金​鑰​管​理​,以​作​為​技​術​預​覽​。​Identity Management 客​戶​端​上​的​ OpenSSH 將​被​自​動​配​置​使​用​儲​存​在​ Identity Management 伺​服​器​上​的​公​共​金​鑰​。​您​現​在​已​可​在​ Identity Management 中​,中​央​管​理​ SSH 主​機​和​使​用​者​身​份​。​BZ#803822n

SELinux 使​用​者​對​映​

RHEL 6.3 提​供​了​控​制​遠​端​系​統​使​用​者​之​ SELinux 的​功​能​。​您​可​定​義​ SELinux 使​用​者​對​映​規​則​,並​選​用​性​地​使​其​與​ HBAC 規​則​相​聯​。​這​些​對​映​定​義​了​使​用​者​將​取​得​的​ context(取​決​於​他​們​所​登​入​的​主​機​以​及​其​所​屬​群​組​成​員​)。​當​使​用​者​登​入​了​一​部​配​置​來​使​用​ SSSD 並​搭​配​ Identity Management 後​端​的​遠​端​主​機​時​,該​使​用​者​的​ SELinux context 將​根​據​為​其​所​定​義​的​對​映​規​則​自​動​設​置​。​欲​取​得​更​多​相​關​資​訊​,請​參​閱​〈​http://freeipa.org/page/SELinux_user_mapping〉​。​這​項​功​能​被​視​為​技​術​預​覽​。​BZ#803821

多​項​ sshd 的​必​要​認​證​方​式​

您​現​在​已​能​為​ SSH 設​置​多​重​認​證​方​式​(先​前​ SSH 雖​然​亦​允​許​設​置​多​重​認​證​方​式​,不​過​僅​須​成​功​通​過​一​項​認​證​即​可​進​行​登​錄​);比​方​說​,若​要​登​入​一​部​啟​用​了​ SSH 的​機​器​,您​必​須​輸​入​一​組​密​碼​及​公​共​金​鑰​。​RequiredAuthentications1 和​ RequiredAuthentications2 選​項​可​配​置​於​ /etc/ssh/sshd_config 檔​案​中​,以​指​定​欲​成​功​登​入​的​所​需​認​證​。​例​如​:

~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
欲​取​得​先​前​提​及​之​ /etc/ssh/sshd_config 選​項​的​相​關​資​訊​,請​參​閱​ sshd_config 的​ man page。​BZ#657378
automount 映​射​快​取​的​ SSSD 支​援​

在​ RHEL 6.3 中​,SSSD 包​含​了​一​項​新​技​術​預​覽​功​能​:快​取​ automount 映​射​的​支​援​。​這​項​功​能​為​執​行​了​ autofs 的​環​境​提​供​了​多​項​好​處​:

  • 當​無​法​連​至​ LDAP 伺​服​器​,但​可​連​至​ NFS 伺​服​器​時​,已​快​取​的​ automount 映​射​能​讓​客​戶​端​機​器​輕​易​地​進​行​掛​載​作​業​。​
  • 當​ autofs daemon 被​配​置​來​透​過​ SSSD 查​詢​ automount 時​,您​僅​需​配​置​一​個​單​獨​檔​案​:/etc/sssd/sssd.conf。​先​前​,您​必​須​配​置​ /etc/sysconfig/autofs 檔​案​,才​可​取​得​ autofs 資​料​。​
  • 快​取​ automount 對​映​能​在​客​戶​端​上​達​到​較​高​的​效​能​,並​在​ LDAP 伺​服​器​上​使​用​較​低​的​流​量​。​BZ#761570
SSSD debug_level 特​性​的​改​變​

SSSD 在​ /etc/sssd/sssd.conf 檔​案​中​改​變​了​ debug_level 選​項​的​特​性​。​先​前​,您​能​在​ [sssd] 配​置​部​分​中​設​置​ debug_level 選​項​,並​且​結​果​將​是​此​設​定​會​成​為​其​它​配​置​部​分​的​預​設​值​,除​非​它​們​已​被​明​確​置​換​。​

對​於​內​部​除​錯​紀​錄​功​能​上​的​多​項​改​變​,造​成​ debug_level 選​項​總​是​必​須​在​配​置​檔​案​中​的​各​個​部​分​中​,獨​立​指​定​,而​非​由​ [sssd] 部​分​取​得​其​預​設​值​。​
最​後​,在​更​新​為​最​新​版​本​的​ SSSD 後​,使​用​者​可​能​需​要​更​新​他​們​的​配​置​,才​能​繼​續​取​得​相​同​等​級​的​錯​誤​紀​錄​。​根​據​各​機​器​配​置​ SSSD 的​使​用​者​,可​使​用​一​項​簡​單​的​ Python 工​具​程​式​,以​相​容​的​方​式​更​新​他​們​既​有​的​配​置​。​這​能​藉​由​以​ root 身​份​執​行​下​列​指​令​來​達​成​:
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
此​工​具​程​式​會​針​對​於​配​置​檔​案​進​行​下​列​變​更​:它​將​查​看​ debug_level 選​項​是​否​指​定​於​ [sssd] 部​分​中​。​若​是​如​此​,它​便​會​增​加​此​相​同​等​級​的​值​至​ sssd.conf 檔​案​中​的​各​個​其​它​部​分​,並​且​ debug_level 將​不​會​被​指​定​。​若​ debug_level 選​項​早​已​明​確​存​在​另​一​部​分​中​,它​將​不​會​受​到​任​何​變​更​。​
依​賴​中​央​配​置​管​理​工​具​的​使​用​者​,必​須​在​適​當​工​具​中​,手​動​式​進​行​這​些​相​同​的​變​更​。​BZ#753763
新​的​ ldap_chpass_update_last_change 選​項​

新​選​項​ ldap_chpass_update_last_change 已​新​增​至​ SSSD 配​置​。​若​啟​用​了​此​選​項​,SSSD 便​會​嘗​試​將​ shadowLastChange LDAP 屬​性​更​改​為​目​前​的​時​間​。​請​注​意​,這​僅​適​用​於​使​用​了​ LDAP 密​碼​政​策​的​情​況​下​(一​般​由​ LDAP 伺​服​器​處​理​),也​就​是​代​表​,LDAP 延​伸​作​業​會​被​使​用​來​更​改​密​碼​。​同​時​請​注​意​,更​改​密​碼​的​使​用​者​必​須​能​夠​寫​入​該​屬​性​。​BZ#739312