章 1. 身份認證

Directory Server 支援可配置的正規化 DN 快取

Directory Server(目錄伺服器)的這項更新能為例如 memberOf 的外掛程式、以及一些用來更新含有許多 DN 語法屬性之項目的作業提供更佳的效能。新設計的可配置正規化(normalize)DN 快取能讓伺服器更有效率地處理 DN。

使用無密碼的認證方式時,SSSD 會顯示密碼到期的警告

先前,SSSD 僅能在進行認證階段時驗證密碼是否有效。然而,當使用了無密碼的認證方式(例如進行 SSH 登錄)時,SSSD 不會在認證階段時被調用,因此也不會執行密碼有效性檢測。這項更新已將檢測動作從認證階段移至帳戶處理階段。因此,就算在進行認證時未使用任何密碼,SSSD 亦可發出密碼到期的警告。詳情請參閱《建置指南》。

SSSD 支援使用「使用者主體名稱」登入

除了使用者名稱之外,SSSD 現在亦可使用「使用者主體名稱」(User Principal Name,UPN)屬性來識別使用者與使用者帳號,這是 Active Directory(AD)使用者能使用的功能。透過這項功能增強,使用者能以使用者名稱和網域、或是 UPN 屬性,以 AD 使用者登入。

SSSD 支援快取項目的背景更新

SSSD 允許快取項目在背景中進行頻外(out-of-band)更新。之前,快取項目的有效性過期時,SSSD 會從遠端伺服器擷取這些快取項目,並將它們重新儲存在資料庫中,這可能會耗費許多時間。透過這次更新,項目能即時回傳,因為它們會在後端中被維持最新狀態。請注意,這會增加伺服器的負載,因為 SSSD 會定時下載這些項目,而不是只有被請求時才會進行下載。

sudo 指令已支援 zlib 壓縮的 I/O 日誌

現在 sudo 指令已內建對 zlib 的支援,這能讓 sudo 產生並處理壓縮的 I/O 日誌。

新套件:openscap-scanner

現在已提供 openscap-scanner 這個新套件,讓管理員安裝、使用 OpenSCAP 掃描工具(oscap),且無需安裝 openscap-utils 套件的所有相依套件(這些套件先前包含了掃描工具)。OpenSCAP 掃描程式的獨立套件格式能有效降低因安裝非必要相依性套件所造成的潛在安全性風險。您依然能使用 openscap-utils 套件,而此套件包含了其它純屬雜項的工具。建議僅需要使用 oscap 工具的使用者移除 openscap-utils 套件,並安裝 openscap-scanner 套件。

若 NSS 支援,TLS 1.0 或更新版本將會預設啟用

基於 CVE-2014-3566,預設上 SSLv3 以及較舊的協定版本將會被停用。Directory Server 現在能接受更安全的 SSL 協定,例如 TLSv1.1 與 TLSv1.2,並且該範圍是由 NSS 函式庫所提供的。您亦可定義與 Directory Server 事例進行通訊時,主控台所會使用的 SSL 範圍。

openldap 包括 pwdChecker 函式庫

這項更新藉由包含了 OpenLDAP pwdChecker 函式庫,以帶入 OpenLDAP 的 Check Password(檢查密碼)延伸功能。在 RHEL 6 中,必須擁有此延伸功能才可與 PCI 相容。

SSSD 支援覆寫自動探索的 AD 網站

預設上,客戶端所連上的 AD DNS 站台會自動被搜尋到。然而,預設的自動搜尋可能無法找到適用於特定設定下的 AD 站台。現在在這種情況下,您能在 /etc/sssd/sssd.conf 檔案的 [domain/NAME] 部分中,透過使用 ad_site 參數來手動定義 DNS 站台。欲知 ad_site 的詳情,請參閱《身份識別管理指南》。

certmonger 支援 SCEP

certmonger 服務已更新,以支援「簡易憑證註冊通訊協定」(SCEP,Simple Certificate Enrollment Protocol)。現在若要從伺服器取得憑證,您能夠透過 SCEP 提供註冊。

Directory Server 運行刪除工作時,效能有所改善

先前,在進行群組刪除作業時,若含有巨大的靜態群組,執行遞迴巢式群組查詢可能會花上很長一段時間才能完成。新增的 memberOfSkipNested 配置屬性能允許跳過巢式的群組檢查,並大幅改善刪除作業的效能。

SSSD 支援從 WinSync 到跨領域信任的使用者遷移

使用者配置的 ID 檢視(ID View)新機制已經實作於 RHEL 6.7。ID 檢視能讓身份識別管理(Identity Management)的使用者從 Active Directory 所使用的、以 WinSync 同步為基礎的架構,遷移到 Cross-Realm Trust 上、以基礎建設為基礎的架構。欲知 ID 檢視與遷移步驟的詳細資料,請參閱《身份識別管理指南》。

SSSD 支援 localauth Kerberos 外掛程式

這項更新新增了 localauth Kerberos 外掛程式以進行本機認證。此外掛程式能確保 Kerberos 主體可自動對映至本機 SSSD 使用者名稱。透過此外掛程式,您再也無需在 krb5.conf 檔案中使用 auth_to_local 參數。詳情請參閱《身份識別管理指南》。

SSSD 支援在沒有系統登入權利時,存取特定應用程式

domains= 選項已被新增至 pam_sss 模組,這將能取代 /etc/sssd/sssd.conf 檔案中的 domains= 選項。此外,這項更新加入了 pam_trusted_users 選項,並能允許使用者新增 SSSD daemon 所信任的一列數字 UID 或是使用者名稱。除此之外,還加入了 pam_public_domains 選項、和一列即使是不受信任的使用者也能存取的網域。這些新增項目能讓一般使用者即使無法登入系統本身,也能存取指定的應用程式。詳情請參閱《身份識別管理指南》。

SSSD 支援 AD 與 IdM 之間的一致性使用者環境

SSSD 服務可以讀取 AD 的 POSIX 屬性,此 AD 伺服器是與 IdM(身份辨識管理,Identity Management)有信任關係的。透過這次更新,管理者可以從 AD 伺服器傳送自訂使用者的 shell 屬性至 IdM 用戶端。接下來 SSSD 會在 IdM 用戶端上顯示自訂的屬性。這項更新能使整個企業的環境維持一致性。請注意,目前用戶端的 homedir 屬性會顯示來自 AD 伺服器的 subdomain_homedir 數值。詳情請參閱《身份識別管理指南》。

SSSD 支援在登入前,為 AD 受信任的使用者顯示群組

現在,來自與 IdM 有信任關係的 AD 樹系(forest)之 AD 使用者可以在登入之前,解析群組成員資訊。這樣一來,id 工具程式就可以在不需要使用者登入的情況下,顯示使用者的群組。

getcert 支援在沒有 certmonger 的情況下,要求憑證

在 IdM 用戶端 kickstart 登入過程中使用 getcert 工具程式來取得憑證時,再也不需要執行 certmonger 服務。之前,如果未執行 certmonger 會導致取得憑證失敗。透過這次更新,getcert 能在上述情況中成功取得憑證,前提是並未執行 D-Bus daemon。請注意,certmonger 只有在重新開機後,才會開始監控以這種方式取得的憑證。

SSSD 支援使用者識別子的保留情況

現在 SSSD 的 case_sensitive 支援 truefalse、與 preserve 三種值。啟用 preserve 時,不管輸入項目的大小寫為何,都會相符合;但輸出項目一定與伺服器上的大小寫相同。SSSD 會保留 UID 欄位被配置時的大小寫。

SSSD 拒絕鎖定帳號透過 SSH 登入存取

之前,SSSD 使用 OpenLDAP 作為身份辨識的資料庫時,使用者可以使用 SSH 金鑰成功通過身份認證,即使使用者帳號被鎖定亦然。ldap_access_order 參數現在接受 ppolicy 值,使得上述情況發生時,會拒絕 SSH 存取。欲知使用 ppolicy 的詳情,請參閱 ldap_access_order sssd-ldap(5) man page。

SSSD 支援在 AD 上使用 GPO

現在 SSSD 能使用儲存在 AD 伺服器上的 GPO(群組政策物件,Group Policy Object),來進行存取控制。這增強功能會模擬 Windows 用戶端的功能,同時單一組存取控制規則可以用來處理 Windows 與 Unix 的機器。這樣一來,Windows 的管理者可以使用 GPO 來控制對 Linux 用戶端的存取。詳情請參閱《身份識別管理指南》。