Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

章 2. 身份認證

ca-certificate 重訂基底為版本 2.4

ca-certificates 套件已升級為上游版本 2.4,它提供了針對先前版本的數項錯誤修正和功能增強。值得注意的是,ca-certificates 進行了下列修正:
Mozilla 先前移除了數個包含 1024-bit RSA 金鑰的舊式 CA 憑證的信任。這版本的 ca-certificates 套件修正了 Mozilla 清單,以就預設值保留這些舊式 CA 憑證的信任。這些修正主要是要確保與既有 PKI 建置和基於 OpenSSL 或 GnuTLS 的軟體的相容性。
ca-certificates 套件現在也包含了ca-legacy 指令,它可被用來停用提及的相容性修改。欲取得更多有關於如何使用這項指令的相關資訊,請參閱 ca-legacy(8) man page。
建議嘗試停用舊式修改的使用者參閱知識庫文件 1413643,此文件提供了有關於這些修正、以及停用它們時所可能發生的潛在問題的相關資訊。
請注意,若要使用 ca-legacy 指令,您必須要能使用統一的 CA store。若要學習如何啟用統一的 CA store,請參閱 update-ca-trust(8) man page。

單向信任關係支援

Identity Management 現在允許使用者透過執行 ipa trust-add 指令來配置一項單向的信任關係。

openldap 已重訂基底為版本 2.4.40

openldap 套件已升級為上游版本 2.4.40,它針對先前版本提供了數項錯誤修正和一項功能增強。值得注意的是,ORDERING 比對規則已新增至 ppolicy 屬性類型詳述。修正過的錯誤包含了:當處理 SRV 紀錄時,伺服器已不再會非預期地終止,並且遺失的 objectClass 資訊已被加入,這能讓使用者以標準方式修改前端配置。

SSSD 中的快取認證

現在即使在線上模式,SSSD 也能在不嘗試重新連線的情況下針對於快取進行認證。重複針對網路伺服器直接進行認證可能會造成過度的應用程式遲緩,這可能會使登錄程序耗費大量時間。

SSSD 會在個別客戶端上啟用 UID 與 GID 對映

現在能在特定 RHEL 客戶端上,藉由使用 SSSD 透過客戶端配置來將使用者對映至不同的 UID 和 GID。這項客戶端置換能力能解決 UID 和 GID 重複所造成的問題。

SSSD 現在已可拒絕被鎖定之帳號的 SSH 存取

之前,SSSD 使用 OpenLDAP 作為身份辨識的資料庫時,使用者可以使用 SSH 金鑰成功通過身份認證,即使使用者帳號被鎖定亦然。ldap_access_order 參數現在接受 ppolicy 值,使得上述情況發生時,會拒絕 SSH 存取。欲知使用 ppolicy 的詳情,請參閱 ldap_access_order sssd-ldap(5) man page。

sudo 工具程式現在已能驗證指令的校驗碼

sudo 工具程式的配置現在已能儲存一項被允許的指令或是 script 的校驗碼(checksum)。當該指令或 script 再次執行時,校驗碼會被拿來與儲存的校驗碼做比較,以驗證是否無變更。若指令或 binary 遭到修改,sudo 工具程式將會拒絕執行指令或紀錄一則警告。這項功能能在發生事件時,正確轉移責任與解決問題的活動。

SSSD 智慧卡支援

SSSD 現在已支援智慧卡以進行本機認證。透過這項功能,使用者能藉由基於文字或圖形化的主控台介面,以及例如 sudo 服務一般的本機服務以使用智慧卡來登錄系統。使用者可將智慧卡插入讀取器,並在登錄提示中提供使用者名稱與智慧卡的 PIN。若智慧卡上的憑證已通過驗證,使用者便能成功通過認證。
請注意,SSSD 目前無法讓使用者透過智慧卡取得 Kerberos 票證。若要取得 Kerberos 票證,使用者還是需要使用 kinit 工具程式來進行認證。

多憑證設定檔支援

Identy Management 現在已支援多重設定檔以發出伺服器憑證和其它憑證,而不僅是支援單伺服器憑證設定檔。這些設定檔儲存在憑證系統(Certificate System)中。

密碼保存庫

這項新功能可以將私密使用者資訊(例如密碼以及已加入到 Identity Management 中的金鑰)存放在一個安全的中央儲存位置中。密碼保存庫(Password Vault)建置於公共密鑰基礎結構(PKI,Publica Key Infrastructure)金鑰還原認證中心(KRA,Key Recovery Authority)子系統上。

Identity Management 中的 DNSSEC 支援

透過 DNS 提供的 Identity Management 現在支援了 DNS Security Extension(DNSSEC),這是一組 DNS 的延伸功能,它能提升 DNS 協定的安全性。Identity Management 伺服器上的 DNS zone 能透過使用 DNSSEC 自動簽署。加密金鑰會自動產生和輪換。
建議希望透過 DNSSEC 來保護其 DNS zone 的使用者詳讀並依照下列文件進行:
DNSSEC 操作實務第二版:http://tools.ietf.org/html/rfc6781#section-2
DNS 防護建置指南:http://dx.doi.org/10.6028/NIST.SP.800-81-2
請注意,以 DNS 提供的 Identity Management 會使用 DNSSEC 來驗證從其它 DNS 伺服器取得的 DNS 回應。這可能會影響未根據《RHEL 網路指南》中所詳述的命名方式進行配置的 DNS zone 的可用性。

Identity Management 中的 Kerberos HTTPS 代理伺服器

金鑰分發中心(KDC,Key Distribution Center)代理伺服器功能與 Microsoft Kerberos KDC Proxy Protocol(MS-KKDCP)實作的互操作性現在在 Identity Management 中已可使用,並允許客戶端透過使用 HTTPS 來存取 KDC 和 kpasswd 服務。系統管理員現在已可藉由一個基本的 HTTPS 反向代理伺服器,來在其網路邊緣(network edge)開放代理伺服器,而無需設定和管理專屬的應用程式。

快取項目的背景更新

SSSD 現在已允許快取項目在背景中進行頻外(out-of-band)更新。之前,快取項目的有效性過期時,SSSD 會從遠端伺服器擷取這些快取項目,並將它們重新儲存在資料庫中,這可能會耗費許多時間。透過這次更新,項目能即時回傳,因為它們會在後端中被維持在最新狀態下。請注意,這會增加伺服器的負載,因為 SSSD 會定時下載這些項目,而不是只有被請求時才會進行下載。

快取 initgroups 作業

SSSD 快速記憶體快取現在支援 initgroups 作業,它提升了 initgroups 處理上的速度,並改善了部分應用程式的效能,例如 GlusterFS 和 slapi-nis

使用 mod_auth_gssapi 來簡化認證的交涉過程

Identity Management 現在使用了 mod_auth_gssapi 模組,該模組使用 GSSAPI 調用來替代先前使用了 mod_auth_kerb 模組的直接 Kerberos 調用。

使用者生命週期管理能力

使用者生命週期管理能讓系統管理員對於啟用與停用使用者帳號上擁有較大幅度的控制權。系統管理員現在已可藉由將新使用者帳號加入到 stage 區域中,而在不完全啟用它們的情況下佈建這些帳號、啟用停用的使用者帳號以讓它們能完整進行作業,或停用使用者帳號,而無需將它們完全從資料庫中刪除掉。
使用者生命週期管理能力能為大型的 IdM 建置帶來許多好處。請注意,使用者亦可直接透過使用直接 LDAP 作業的標準 LDAP 客戶端加入 stage 區域中。先前,IdM 僅支援管理使用了 IdM 指令列工具或 IdM 網站 UI 的使用者。

certmonger 中的 SCEP 支援

certmonger 服務已更新,以支援「簡易憑證註冊通訊協定」(SCEP,Simple Certificate Enrollment Protocol)。現在您已能透過 SCEP 發出新憑證和更新或替換既有的憑證。

新套件:ipsilon

ipsilon 套件提供了 Ipsilon 身份供應服務以進行同盟單次登入(federated single sign-on,SSO)。Ipsilon 連接了認證供應商和應用程式或工具程式以允許使用 SSO。它包含了用來配置基於 Apache 的服務供應商的伺服器與工具程式。
Ipsilon 供應的 SSO 的使用者認證乃針對一個獨立的 Identity Management 系統(比方說一個 Identity Management 伺服器)所進行的。Ipsilon 會透過同盟協定(例如 SAML 或是 OpenID)來與各種應用程式和工具程式進行通訊。

NSS 提高了可被接受的金鑰強度最小值

RHEL 7.2 中的 Network Security Services(NSS)函式庫已不再接受小於 768 位元的 Diffie-Hellman(DH)金鑰交換參數,並且也不接受金鑰大小小於 1023 位元的 RSA 和 DSA 憑證。提高可接受的最小金鑰強度值能避免攻擊者攻擊已知的安全性漏洞,例如 Logjam(CVE-2015-4000)和 FREAK(CVE-2015-0204)。
請注意,現在若嘗試使用一組強度比新的最小值還要弱的金鑰來連上伺服器將會失敗,儘管這樣的連線在先前的 RHEL 版本中可行。

nss 和 nss-util 已重訂基底為版本 3.19.1

nssnss-util 套件已升級為上游版本 3.19.1,它針對先前版本提供了數項錯誤修正和功能增強。值得注意的是,這項更新能讓使用者升級至 Mozila Firefox 38 Extended Support Release 並避免攻擊者攻擊 Logjam 安全性漏洞 CVE-2015-4000。

IdM 的 Apache 模組現在已完整受到支援

下列用於身份管理(IdM)的 Apache 模組,已作為技術預覽新增在 RHEL 7.1 中,並且受到完整支援:mod_authnz_pammod_lookup_identity 以及 mod_intercept_form_submit。這些 Apache 模組可被外部應用程式使用,以提供不限於基本認證的 IdM 緊密互動。