Kapitel 5. Authentifizierung und Interoperabilität

Eine Reihe von Features, die in Red Hat Enterprise Linux 6.3 eingeführt wurden, werden in Red Hat Enterprise Linux 6.4 nunmehr vollständig unterstützt. Insbesondere:

Kerberos-Version 1.10 fügt den neuen Cache-Speichertyp DIR: hinzu, der es Kerberos erlaubt, Ticket Granting Tickets (TGTs) für mehrere Key Distribution Centers (KDCs) simultan zu bewahren und bei der Verhandlung mit Kerberos-fähigen Ressourcen automatisch zwischen diesen auszuwählen. In Red Hat Enterprise Linux 6.4 wurde SSSD verbessert, so dass Sie nun den DIR:-Cache für Benutzer auswählen können, die sich per SSSD anmelden. Dieses Feature wird als Technologievorschau eingeführt.

In Red Hat Enterprise Linux 6.4 ermöglicht es Ihnen der ipa group-add-member-Befehl, Mitglieder von Active Directory-basierten vertrauenswürdigen Domains zu Gruppen hinzuzufügen, die in der Identitätsverwaltung als external gekennzeichnet sind. Diese Mitglieder können anhand ihres Namens mithilfe von Domain- oder UPN-basierter Syntax spezifiziert werden, z.B. AD\UserName oder AD\GroupName oder User@AD.Domain. Wenn Mitglieder in dieser Form spezifiziert werden, so werden sie anhand des globalen Katalogs der Active Directory-basierten vertrauenswürdigen Domain aufgelöst, um ihren Security Identifier (SID) Wert zu erhalten.

Alternativ kann direkt ein SID-Wert spezifiziert werden. In diesem Fall wird der ipa group-add-member-Befehl nur verifizieren, dass der Domain-Teil des SID-Werts zu einer der vertrauenswürdigen Active Directory Domains gehört. Dagegen wird kein Versuch unternommen, die Gültigkeit der SID innerhalb der Domain zu verifizieren.

Es wird empfohlen, Benutzer- oder Benutzergruppensyntax zur Angabe von externen Mitgliedern zu verwenden, statt deren SID-Werte direkt anzugeben.

Die standardmäßige Gültigkeit für eine neue Certificate Authority beträgt 10 Jahre. Die CA gibt eine Reihe von Zertifikaten für ihre Untersysteme (OCSP, Audit-Log u.a.) aus. Untersystemzertifikate sind normalerweise für 2 Jahre gültig. Falls die Zertifikate ablaufen, startet die CA nicht oder funktioniert nicht ordnungsgemäß. Aus diesem Grund sind Identity-Management-Server in Red Hat Enterprise Linux 6.4 dazu in der Lage, automatisch ihre Untersystemzertifikate zu verlängern. Die Untersystemzertifikate werden von certmonger überwacht, der automatisch eine Verlängerung der Zertifikate versucht, bevor diese ablaufen.

In Red Hat Enterprise Linux 6.4 wird OpenLDAP während der Installation des Identity-Management-Clients automatisch mit der standardmäßigen LDAP-URI, einer Basis-DN und einem TLS-Zertifikat konfiguriert. Dies verbessert die Benutzerfreundlichkeit bei der Durchführung von LDAP-Suchen auf dem Directory Server des Identity Managements.

Das python-nss-Paket, das Python-Bindings für Network Security Services (NSS) und die Netscape Portable Runtime (NSPR) bereitstellt, wurde aktualisiert, um Unterstützung für PKCS #12 zu implementieren.

LDAP in Red Hat Enterprise Linux 6.4 enthält Unterstützung für persistente Suchen sowohl nach Zonen als auch nach deren Ressourceneinträgen. Persistente Suchen ermöglichen es dem bind-dyndb-ldap-Plugin, unverzüglich über alle Änderungen in einer LDAP-Datenbank informiert zu sein. Sie verringern darüber hinaus die Netzwerklast durch wiederholte Abrufe.

Obsolete Elemente im Replica Update Vector (RUV) der Datenbank können mit der CLEANRUV-Operation entfernt werden, die diese Elemente auf einem einzelnen Anbieter oder Master entfernt. Red Hat Enterprise Linux 6.4 fügt eine neue CLEANALLRUV-Operation hinzu, die obsolete RUV-Daten von allen Kopien entfernt und nur auf einem einzigen Anbieter/Master ausgeführt werden muss.

Die samba4-Bibliotheken (bereitgestellt vom samba4-libs-Paket) wurden auf die neueste Upstream-Version aktualisiert, um die Interoperabilität mit Active Directory (AD) Domains zu verbessern. SSSD verwendet nun die libndr-krb5pac-Bibliothek, um das Privilege Attribute Certificate (PAC) zu verarbeiten, das von einem AD Key Distribution Center (KDC) ausgegeben wird. Darüber hinaus wurden mehrere Verbesserungen an den Local Security Authority (LSA) und Net-Logon-Diensten vorgenommen, um die Vertrauenswürdigkeit von einem Windows-System aus bestätigen zu können. Weitere Informationen über die Einführung der Cross-Realm Kerberos-Trust-Funktionalität, die auf samba4-Paketen beruht, finden Sie in »Cross-Realm Kerberos-Trust-Funktionalität in Identity Management«.

Die es sich bei der Cross-Realm Kerberos-Trust-Funktionalität um eine Technologievorschau handelt, gelten ausgewählte samba4-Komponenten als Technologievorschau. Weitere Informationen darüber, welche Samba-Pakete als Techologievorschau gelten, finden Sie in Tabelle 5.1, »Samba4-Paketunterstützung«.

Die Cross-Realm Kerberos-Trust-Funktionalität im Identity Management ist als Technologievorschau enthalten. Dieses Feature ermöglicht die Erstellung einer Vertrauensbeziehung zwischen einer Identity-Management-Domain und einer Active-Directory-Domain. Das bedeutet, dass Benutzer von der AD-Domain auf Ressourcen und Dienste von der Identity-Management-Domain zugreifen können unter Verwendung ihrer AD-Berechtigungsnachweise. Zwischen den Controllern der Identity-Management-Domain und der AD-Domain müssen keinerlei Daten synchronisiert werden; AD-Benutzer werden immer beim AD-Domain-Controller authentifiziert und Informationen über Benutzer werden abgerufen, ohne dass eine Synchronisation nötig ist.

Dieses Feature wird von dem optionalen ipa-server-trust-ad-Paket bereitgestellt. Dieses Paket basiert auf Features, die nur in samba4 verfügbar sind. Da samba4-*-Pakete mit den entsprechenden samba-*-Paketen kollidieren, müssen zunächst alle samba-*-Pakete entfernt werden, bevor ipa-server-trust-ad installiert werden kann.

Wenn das ipa-server-trust-ad-Paket installiert ist, muss der ipa-adtrust-install-Befehl auf allen Identity-Management-Servern und Kopien ausgeführt werden, um die Handhabung dieser Vertrauensbeziehungen im Identity Management zu aktivieren. Sobald dies erledigt ist, kann per Befehlszeile mithilfe des Befehls ipa trust-add oder per Weboberfläche eine Vertrauensbeziehung eingerichtet werden. Weitere Informationen finden Sie in Abschnitt Integrating with Active Directory Through Cross-Realm Kerberos Trusts im Identity Management Guide unter https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

Windows Active Directory (AD) unterstützt das POSIX-Schema (RFC 2307 und 2307bis) für Benutzer- und Gruppeneinträge. In vielen Fällen wird AD als autoritative Quelle für Benutzer- und Gruppendaten einschließlich POSIX-Attributen verwendet. Ab Red Hat Enterprise Linux 6.4 ignoriert der Directory Server Windows-Sync diese Attribute nicht mehr. Benutzer können nun POSIX-Attribute mit Windows-Sync zwischen AD und 389 Directory Server synchronisieren.