Kapitel 1. Authentifizierung
Directory Server unterstützt konfigurierbaren, normalisierten DN-Cache
Diese Aktualisierung ermöglicht eine bessere Leistung für Plug-ins wie
memberOf
und für Operationen, die Einträge mit vielen DN-Syntaxattributen aktualisieren. Der neu implementierte, konfigurierbare, normalisierte DN-Cache steigert die Effizienz des Servers bei der DN-Handhabung.
SSSD zeigt Warnungen zum Passwortablauf an, wenn eine Authentifizierung ohne Passwort verwendet wird
Bislang konnte SSSD die Gültigkeit eines Passworts nur während der Authentifizierungsphase prüfen. Wenn jedoch eine Authentifizierungsmethode ohne Passwort verwendet wurde, wie z. B. während der SSH-Anmeldung, wurde SSSD während der Authentifizierungsphase nicht aufgerufen, sodass keine Prüfung der Passwortgültigkeit erfolgte. Diese Aktualisierung verlegt die Prüfung von der Authentifizierungsphase in die Accountphase. Infolgedessen kann SSSD eine Warnung über abgelaufene Passwörter ausgeben, selbst wenn während der Authentifizierung kein Passwort verwendet wird. Weitere Informationen finden Sie im Deployment Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html
SSSD unterstützt Anmeldung mit User Principal Name
Zusätzlich zu Benutzernamen kann SSSD nun auch das User Principal Name (UPN) Attribut zur Identifizierung von Benutzern und Benutzernamen verwenden. Diese Funktionalität steht Benutzern von Active Directory (AD) zur Verfügung. Mit dieser Verbesserung kann die Anmeldung als AD-Benutzer entweder mit dem Benutzernamen und der Domain oder mit dem UPN-Attribut erfolgen.
SSSD unterstützt Aktualisierungen im Hintergrund für gecachte Einträge
SSSD ermöglicht die Aktualisierung gecachter Einträge im Hintergrund. Vor dieser Aktualisierung rief SSSD, wenn die Gültigkeit gecachter Einträge ablief, diese vom entfernten Server ab und speicherte sie erneut in der Datenbank, was zeitaufwendig war. Nach dieser Aktualisierung werden Einträge sofort zurückgegeben, da das Back-End diese laufend aktuell hält. Beachten Sie, dass dies eine höhere Last auf dem Server verursacht, da SSSD die Einträge regelmäßig abruft statt nur bei Bedarf.
Der sudo-Befehl unterstützt mit zlib komprimierte I/O-Protokolle
Der
sudo
-Befehl ist nun mit zlib
-Unterstützung ausgestattet, sodass sudo
nun dazu in der Lage ist, komprimierte I/O-Protokolle zu erstellen und zu verarbeiten.
Neues Paket: openscap-scanner
Ein neues Paket, openscap-scanner, steht nun zur Verfügung, um Administratoren die Installation und Verwendung des OpenSCAP Scanners (oscap) zu ermöglichen, ohne alle Abhängigkeiten des openscap-utils-Pakets, welches bislang das Scanner-Tool enthielt, installieren zu müssen. Das separate Paket für den OpenSCAP Scanner verringert die potenziellen Sicherheitsrisiken, die eine Installation unnötiger Abhängigkeiten mit sich bringt. Das openscap-utils-Paket ist nach wie vor verfügbar und enthält verschiedene andere Tools. Benutzern, die lediglich das oscap-Tool benötigen, wird empfohlen, das openscap-utils-Paket zu entfernen und stattdessen das openscap-scanner-Paket zu installieren.
Falls von NSS unterstützt, ist TLS 1.0 oder höher standardmäßig aktiviert
Aufgrund der Sicherheitslücke CVE-2014-3566 sind SSLv3 und ältere Protokollversionen standardmäßig deaktiviert. Der Directory Server akzeptiert nun sicherere SSL-Protokolle wie TLSv1.1 und TLSv1.2 mit den von der NSS-Bibliothek bereitgestellten Versionsbereichen. Sie können auch den SSL-Versionsbereich definieren, der bei der Kommunikation mit Directory-Server-Instanzen von der Konsole verwendet werden soll.
OpenLDAP enthält die pwdChecker-Bibliothek
Diese Aktualisierung führt die OpenLDAP-Erweiterung
Check Password
ein, indem die OpenLDAP-Bibliothek pwdChecker
integriert wurde. Diese Erweiterung ist notwendig für die PCI-Konformität in Red Hat Enterprise Linux 6.
SSSD unterstützt das Überschreiben automatisch erkannter AD-Standorte
Standardmäßig wird der Active Directory (AD) DNS-Standort, mit dem sich die Clients verbinden, automatisch erkannt. Allerdings erkennt die automatische Suche in bestimmten Fällen nicht den besten AD-Standort. In diesen Fällen können Sie den DNS-Standort nun manuell konfigurieren mithilfe des Parameters
ad_site
im Abschnitt [domain/NAME]
der Datei /etc/sssd/sssd.conf
. Weitere Informationen über ad_site
finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
certmonger unterstützt SCEP
Der
certmonger
-Dienst wurde aktualisiert, um das Simple Certificate Enrollment Protocol (SCEP) zu unterstützen. Für den Abruf von Zertifikaten von Servern können Sie nun die Einschreibung über SCEP anbieten.
Verbesserte Leistung von Löschoperationen in Directory Server
Bislang nahm das rekursive Durchsuchen verschachtelter Gruppen während einer Gruppenlöschoperation eine lange Zeit in Anspruch, wenn es sehr große statische Gruppen gab. Das neue Konfigurationsattribut
memberOfSkipNested
wurde hinzugefügt, um die Prüfung dieser verschachtelten Gruppen zu überspringen und somit die Leistung dieser Löschoperationen deutlich zu verbessern.
SSSD unterstützt die Benutzermigration von WinSync auf Cross-Realm Trust
Ein neuer ID-Views-Mechanismus zur Benutzerkonfiguration wurde in Red Hat Enterprise Linux 6.7 implementiert. ID Views ermöglichen die Migration von Identity-Management-Benutzern von einer Architektur basierend auf WinSync-Synchronisation, die von Active Directory verwendet wird, auf eine Infrastruktur basierend auf Cross-Realm Trusts. Einzelheiten über ID Views und den Migrationsvorgang finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD unterstützt das Kerberos-Plug-in localauth
Diese Aktualisierung fügt das Kerberos-Plug-in
localauth
für lokale Authentifizierung hinzu. Das Plug-in gewährleistet, dass Kerberos Principals automatisch lokalen SSSD-Benutzernamen zugeordnet werden. Mit diesem Plug-in ist es nicht länger notwendig, den Parameter auth_to_local
in der Datei krb5.conf
zu verwenden. Weitere Informationen über das Plug-in finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD unterstützt Zugriff auf angegebene Applikationen ohne Zugriffsrechte auf das System
Die Option
domains=
wurde zum pam_sss-Modul hinzugefügt, was die Option domains=
in der Datei /etc/sssd/sssd.conf außer Kraft setzt. Außerdem wurde die Option pam_trusted_users
hinzugefügt, die es dem Benutzer ermöglicht, eine Liste numerischer UIDs oder Benutzernamen hinzuzufügen, die für den SSSD-Daemon als vertrauenswürdig gelten sollen. Darüber hinaus wurde die Option pam_public_domains
sowie eine Liste mit Domains hinzugefügt, auf die auch von nicht vertrauenswürdigen Benutzern zugegriffen werden kann. Diese neuen Optionen ermöglichen die Konfiguration von Systemen, auf denen reguläre Benutzer zwar Zugriff auf bestimmte Applikationen haben, jedoch keine Berechtigung zur Anmeldung auf dem System selbst. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD unterstützt konsistente Benutzerumgebungen in AD und IdM
Der SSSD-Dienst kann POSIX-Attribute lesen, die auf einem Active Directory (AD) Server definiert sind, der sich in einer Vertrauensstellung mit Identity Management (IdM) befindet. Durch diese Aktualisierung kann der Administrator ein angepasstes Benutzer-Shell-Attribut vom AD-Server auf einen IdM-Client übertragen. SSSD zeigt das angepasste Attribut dann auf dem IdM-Client an. Diese Aktualisierung ermöglicht die Pflege von konsistenten Umgebungen im gesamten Unternehmen. Beachten Sie, dass das
homedir
-Attribut auf dem Client derzeit den subdomain_homedir
-Wert vom AD-Server anzeigt. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD unterstützt die Anzeige von Gruppen für Benutzer im AD-Trust vor Anmeldung
AD-Benutzer von Domains in einer AD-Gesamtstruktur in einer Vertrauensstellung mit Identity Management (IdM) können jetzt die Gruppenmitgliedschaften noch vor der Anmeldung auflösen. Infolgedessen zeigt das
id
-Dienstprogramm die Gruppen für diese Benutzer an, ohne dass sich die Benutzer dazu anmelden müssen.
getcert unterstützt das Anfordern von Zertifikaten ohne certmonger
Die Anfrage eines Zertifikats mithilfe des
getcert
-Dienstprogramms während einer Identity Management (IdM) Client-Kickstart-Einschreibung erfordert nicht länger, dass der certmonger
-Dienst ausgeführt wird. Bislang schlug dieser Vorgang fehl, da certmonger
nicht lief. Nach dieser Aktualisierung kann getcert
in der beschriebenen Situation erfolgreich ein Zertifikat anfordern, vorausgesetzt, der D-Bus-Daemon läuft nicht. Beachten Sie, dass certmonger
erst nach einem Neustart damit beginnt, ein Zertifikat zu überwachen, dass auf diese Weise erhalten wurde.
SSSD unterstützt das Bewahren der Groß- und Kleinschreibung von Benutzerkennungen
SSSD unterstützt nun die Werte
true
, false
und preserve
für die Option case_sensitive
. Wenn der preserve
-Wert aktiviert ist, wird bei der Prüfung der Eingabe die Groß- oder Kleinschreibung nicht berücksichtigt, in der Ausgabe entspricht die Groß- oder Kleinschreibung jedoch stets der auf dem Server; SSSD bewahrt die Groß- und Kleinschreibung des UID-Felds wie konfiguriert.
SSSD unterstützt das Verweigern des SSH-Zugriffs für gesperrte Benutzerkonten
Wenn SSSD OpenLDAP als Authentifizierungsdatenbank verwendete, konnten Benutzer sich bislang erfolgreich mit einem SSH-Schlüssel beim System anmelden, selbst nachdem das Benutzerkonto gesperrt wurde. Der Parameter
ldap_access_order
akzeptiert nun den ppolicy
-Wert, der in der beschriebenen Situation einem Benutzer den SSH-Zugriff verweigern kann. Weitere Informationen über die Verwendung von ppolicy
finden Sie in der Beschreibung von ldap_access_order
auf der man-Seite für sssd-ldap(5).
SSSD unterstützt die Verwendung von GPOs auf AD
SSSD ist nun dazu in der Lage, GPOs (Group Policy Objects), die auf einem AD-Server gespeichert sind, zur Zugriffssteuerung zu verwenden. Diese Verbesserung imitiert die Funktionalität von Windows-Clients und ein einzelnes Regelset zur Zugriffssteuerung kann nun sowohl Windows- als auch Unix-Rechner handhaben. Somit können Windows-Administratoren nun GPOs verwenden, um den Zugriff auf Linux-Clients zu steuern. Weitere Informationen finden Sie im Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html