Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
章 5. 認證與互通性
先前,您無法中央管理主機和使用者的 SSH 公共金鑰。RHEL 6.3 為 Identify Management 提供了 SSH 公共金鑰管理,以作為技術預覽。Identity Management 客戶端上的 OpenSSH 將被自動配置使用儲存在 Identity Management 伺服器上的公共金鑰。您現在已可在 Identity Management 中,中央管理 SSH 主機和使用者身份。BZ#803822n
RHEL 6.3 提供了控制遠端系統使用者之 SELinux 的功能。您可定義 SELinux 使用者對映規則,並選用性地使其與 HBAC 規則相聯。這些對映定義了使用者將取得的 context(取決於他們所登入的主機以及其所屬群組成員)。當使用者登入了一部配置來使用 SSSD 並搭配 Identity Management 後端的遠端主機時,該使用者的 SELinux context 將根據為其所定義的對映規則自動設置。欲取得更多相關資訊,請參閱〈http://freeipa.org/page/SELinux_user_mapping〉。這項功能被視為技術預覽。BZ#803821
您現在已能為 SSH 設置多重認證方式(先前 SSH 雖然亦允許設置多重認證方式,不過僅須成功通過一項認證即可進行登錄);比方說,若要登入一部啟用了 SSH 的機器,您必須輸入一組密碼及公共金鑰。RequiredAuthentications1 和 RequiredAuthentications2 選項可配置於 /etc/ssh/sshd_config 檔案中,以指定欲成功登入的所需認證。例如:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
在 RHEL 6.3 中,SSSD 包含了一項新技術預覽功能:快取 automount 映射的支援。這項功能為執行了 autofs 的環境提供了多項好處:
- 當無法連至 LDAP 伺服器,但可連至 NFS 伺服器時,已快取的 automount 映射能讓客戶端機器輕易地進行掛載作業。
- 當
autofsdaemon 被配置來透過 SSSD 查詢 automount 時,您僅需配置一個單獨檔案:/etc/sssd/sssd.conf。先前,您必須配置/etc/sysconfig/autofs檔案,才可取得 autofs 資料。 - 快取 automount 對映能在客戶端上達到較高的效能,並在 LDAP 伺服器上使用較低的流量。BZ#761570
SSSD 在 /etc/sssd/sssd.conf 檔案中改變了 debug_level 選項的特性。先前,您能在 [sssd] 配置部分中設置 debug_level 選項,並且結果將是此設定會成為其它配置部分的預設值,除非它們已被明確置換。
debug_level 選項總是必須在配置檔案中的各個部分中,獨立指定,而非由 [sssd] 部分取得其預設值。
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.pydebug_level 選項是否指定於 [sssd] 部分中。若是如此,它便會增加此相同等級的值至 sssd.conf 檔案中的各個其它部分,並且 debug_level 將不會被指定。若 debug_level 選項早已明確存在另一部分中,它將不會受到任何變更。
新選項 ldap_chpass_update_last_change 已新增至 SSSD 配置。若啟用了此選項,SSSD 便會嘗試將 shadowLastChange LDAP 屬性更改為目前的時間。請注意,這僅適用於使用了 LDAP 密碼政策的情況下(一般由 LDAP 伺服器處理),也就是代表,LDAP 延伸作業會被使用來更改密碼。同時請注意,更改密碼的使用者必須能夠寫入該屬性。BZ#739312