章 3. 認證與互通性

SSSD 智慧卡支援

SSSD 現在已支援智慧卡以進行本機認證。透過這項功能,使用者能藉由基於文字或圖形化的主控台介面,以及例如 sudo 服務一般的本機服務以使用智慧卡來登錄系統。使用者可將智慧卡插入讀取器,並在登錄提示中提供使用者名稱與智慧卡的 PIN。若智慧卡上的憑證已通過驗證,使用者便能成功通過認證。
請注意,SSSD 目前無法讓使用者透過智慧卡取得 Kerberos 票證。若要取得 Kerberos 票證,使用者還是需要使用 kinit 工具程式來進行認證。
要在 RHEL 6 中啟用智慧卡功能,使用者必須允許 DDDS 提示使用者輸入密碼、OTP(單次密碼)、或智慧卡的 PIN,方法是修改 /etc/pam.d/password-auth/etc/pam.d/system-auth PAM 配置檔案中的 auth 行。欲知更多詳情,請參見《身份管理指南》。

SSSD 中的快取認證

現在即使在線上模式,SSSD 也能在不嘗試重新連線的情況下針對於快取進行認證。重複針對網路伺服器直接進行認證可能會造成過度的應用程式遲緩,這可能會使登錄程序耗費大量時間。

IdM 伺服器相容性外掛程式樹的 ou=sudoers,$DC 部分,現在可以停用,以取得更高效能

現在 IdM(身份憑證管理,Identity Management)用戶端可以連上 IdM 伺服器的 LDAP 樹中,cn=sudorules,cn=sudo,$DCsudo 規則;而不是由 slapi-nis 目錄伺服器外掛程式所產生的 ou=sudoers,$DC 相容性樹。
在其它操作不需要相容樹的情況下(例如舊式的客戶端支援),使用者可以停用樹的 ou=sudoers,$DC 部分。因為使用 slapi-nis 時非常耗費資源,尤其是在有大量授權工作的環境下,因此這能讓效能更好。

SSSD 會在個別客戶端上啟用 UID 與 GID 對映

現在能在特定 RHEL 客戶端上,藉由使用 SSSD(由 sss_override 工具程式提供)透過客戶端配置來將使用者對映至不同的 UID 和 GID。這項客戶端置換能力能解決 UID 和 GID 重複所造成的問題,或是舒緩之前使用不同 ID 對應的舊式系統之過渡時期。
請注意,覆寫項目會記錄在 SSSD 快取中;因此移除快取也會移除這些覆寫項目。關於這項功能的詳情,請參見 sss_override(8) man page。

快取 initgroups 作業

SSSD 快速記憶體快取現在支援 initgroups 作業,它提升了 initgroups 處理上的速度,並改善了部分應用程式的效能,例如 GlusterFS 和 slapi-nis

新套件:adcli

此次更新新增了 adcli 套件至 RHEL 6。adcli 工具程式能允許 RHEL 6 用戶端的使用者,管理 AD 中的主機、使用者與群組物件。這項工具程式的主要用處,在於將主機加入 AD 網域,並更新主機的身份憑證。
adcli 工具程式能辨識主機,並不需要額外的配置來加入 AD 網域。在執行 SSSD 服務的用戶端上,adcli 能定期更新主機的身份憑證。

現在 SSSD 能自動更新加入 AD 的 Linux 用戶端主機的身份憑證

一些 Windows 工具程式會從 AD 上移除主機,這發生於主機的密碼在很長一段時間沒有更新之後。這是因為這些工具程式認為用戶端已經處於非啟用狀態。
有了這項功能,加入 AD 的 Linux 用戶端之主機密碼會定期更新,這表示用戶端會持續處於啟用狀態。因此,RHEL 用戶端加入 AD 之後,不會在上述情況下被移除。

現在 SSSD 能自動為大型 RID 環境下的 AD 用戶端調整 ID 範圍

現在 SSSD 服務中的自動 ID 對應機制能合併 ID 範圍網域。之前,如果 AD 的 RID(相對 ID,relative ID)大於 200,000(由 SSSD 指定的 ID 範圍之預設大小),管理員就需要手動調整 SSSD 所指定的 ID 範圍,以對應 RID。
有了此加強功能後,對啟用了 ID 對應的 AD 用戶端來說,SSSD 會在上述情況下自動調整 ID 範圍。因此,管理員不再需要手動調整 ID 範圍,同時預設的 SSSD ID 對應機制也可以在大型的 AD 環境中運行。

現在 SSSD 支援來自不同網域控制器的 GPO

SSSD 已更新,支援來自不同網域控制器的 GPO(群組政策物件,group policy object)。