章 5. 認證與互通性

SSSD 的完整支援功能

多種出現於 Red Hat Enterprise Linux 6.3 的功能,Red Hat Enterprise Linux 6.4 已提供完整支援。特別是:
  • 支援 SSH 金鑰的中央管理、
  • SELinux 的使用者對應、
  • 以及支援自動對應快取。

新的 SSSD 快取儲存類型

Kerberos 1.10 版新增了快取儲存類型 DIR:,這能讓 Kerberos 同步維護多個 KDC(Key Distribution Centers)的 TGT(Ticket Granting Tickets),並在協調能偵測 Kerberos 的資源時,自動從中選擇。在 Red Hat Enterprise Linux 6.4 中,SSSD 的功能已經增強,能讓使用者選擇 DIR: 快取,用以透過 SSSD 登入。這功能是搶先版。

新增以 AD 為基礎的網域至 external(外部)群組

在 Red Hat Enterprise Linux 6.4 中,ipa group-add-member 指令能讓使用者新增 AD 網域的成員至 Identity Management(身分識別管理)中,標示為 external(外部)的群組。這些成員可能會使用 domain- 或 UPN- 為基礎的語法來指定,例如 AD\UserNameAD\GroupName,或 User@AD.Domain。以這種形式指定時,成員會透過 AD 受信任網域的全域目錄,取得其 SID 值。
此外,您亦可直接指定一組 SID 值。在此情況下,ipa group-add-member 指令將只會驗證 SID 值的區域部分是否屬於受信任的 Active Directory 區域之一。系統將不會嘗試驗證區域中的 SID 是否有效。
建議使用使用者或群組名稱語法來指定外部成員,而非直接提供其 SID 值。

自動更新身份管理子系統憑證

新憑證的預設有效期限乃 10 年。CA 會為其子系統(OCSP、audit log 和其它)發出若干憑證。子系統憑證一般有效期限為兩年。若憑證失效,CA 將無法啟用,或將無法正常運作。因此,在 Red Hat Enterprise Linux 6.4 中,身份管理(Identity Management)伺服器能自動更新其子系統的憑證。子系統的憑證乃藉由 certmonger 追蹤,它會在憑證失效之前,自動嘗試更新憑證。

在已註冊於身份管理(Identity Management)中的客戶端上,自動配置 OpenLDAP 客戶端工具

在 Red Hat Enterprise Linux 6.4 中,當安裝 Identity Management 客戶端時,OpenLDAP 會被自動配置預設的 LDAP URI、 基礎 DN,以及 TLS 憑證。這能改善對於 Identity Management Directory Server 的 LDAP 搜尋。

python-nss 的 PKCS#12 支援

為 Network Security Services(NSS)和 Netscape Portable Runtime(NSPR)提供 Python 綁定的 python-nss 套件已更新,並新增了 PKCS #12 的支援。

DNS 完整持續性搜尋

Red Hat Enterprise Linux 6.4 中的 LDAP 支援區域與其資源紀錄的持續性搜尋。持續性搜尋能讓 bind-dyndb-ldap 外掛即時被通知有關於 LDAP 資料庫中的所有變更。它同時也能透過重複輪詢來降低網路頻寬的使用量。

新增了 CLEANALLRUV 作業

Database Replica Update Vector(RUV)中的已過時元素,可透過 CLEANRUV 作業移除,這會將它們由單一 supplier 或 master 上移除。Red Hat Enterprise Linux 6.4 新增了一項 CLEANALLRUV 作業,用來移除所有已過時的 RUV 資料,並且僅需要在單一 supplier/master 上執行即可。

samba4 函式庫已更新

samba4 函式庫(由 samba4-libs 套件所提供)已升級為最新上游版本,以改善與 Active Directory(AD)區域的互通性。 SSSD 現在使用了 libndr-krb5pac 函式庫來叵析由 AD Key Distribution Center 所發出的 Privilege Attribute Certificate(PAC)。此外,Local Security Authority(LSA)和 Net Logon 服務也已經過改善,以允許經由 Windows 系統驗證信任關係。欲取得更多有關於 Cross Realm Kerberos Trust 功能(依賴 samba4 套件)上的相關資訊,請參閱 “Identity Management 中的 Cross Realm Kerberos Trust 功能”

警告

如果您是從 RHEL 6.3 升級至 RHEL 6.4,同時也使用了 Samba,請確定要事先解除安裝 samba4 套件,以避免升級期間的衝突。
因為 Cross Realm Kerberos Trust 功能被視為技術預覽,因此被選擇的 samba4 元件亦被視為技術預覽。欲知哪個 Samba 套件為技術預覽,請參閱 表格 5.1, “Samba4 套件支援”

表格 5.1. Samba4 套件支援

套件名稱 6.4 中的新套件? 支援狀態
samba4-libs 技術預覽,除了 OpenChange 所需的功能以外
samba4-pidl 技術預覽,除了 OpenChange 所需的功能以外
samba4 技術預覽
samba4-client 技術預覽
samba4-common 技術預覽
samba4-python 技術預覽
samba4-winbind 技術預覽
samba4-dc 技術預覽
samba4-dc-libs 技術預覽
samba4-swat 技術預覽
samba4-test 技術預覽
samba4-winbind-clients 技術預覽
samba4-winbind-krb5-locator 技術預覽

Identity Management 中的 Cross Realm Kerberos Trust 功能

Identity Management 所提供的 Cross Realm Kerberos Trust 功能為技術預覽。此功能可讓您建立 Identity Management 與 Active Directory 區域之間的信任關係。這代表來自於 AD 區域的使用者將能透過他們的 AD 帳號,存取來自於 Identity Management 區域的資源和服務。Identity Management 和 AD 區域控制器之間的資料無需同步;AD 使用者將會由 AD 區域控制器驗證,並查詢使用者的相關資訊,而無需進行同步。
這項功能是由 ipa-server-trust-ad 套件所提供的。此套件依賴僅有在 samba4 中可使用的功能。因為 samba4-* 套件會與相應的 samba-* 套件產生衝突,因此您必須先移除 samba-* 套件,才能安裝 ipa-server-trust-ad
ipa-server-trust-ad 套件安裝完成後,您必須在所有 Identity Management 伺服器和複本上執行 ipa-adtrust-install 指令,以啟用 Identity Management 來處理信任關係。當完成後,您可藉由在指令列上使用 ipa trust-add 或 WebUI 來建立信任關係。欲取得更多相關資訊,請參閱位於 https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/ 的《身份管理指南》中的《透過 Cross-Realm Kerberos Trust 來與 Active Directory 整合》部分。

389 Directory Server 的 Posix Schema 支援

Windows Active Directory(AD)支援使用者和群組項目的 POSIX 結構描述(RFC 2307 和 2307bis)。在許多情況下,AD 會被使用來作為使用者和群組資料(包括 POSIX 屬性)的驗證來源。在 Red Hat Enterprise Linux 6.4 中,Directory Server Windows Sync 已不再會忽略這些屬性。使用者現在已能夠在 AD 和 389 Directory Server 之間同步 POSIX 屬性和 Windows Sync。

注意

當要新增使用者及群組項目至 Directory Server 時,POSIX 屬性不會同步至 AD。新增使用者和群組項目至 AD 則會同步至 Directory Server,而修改屬性將會雙向同步。