SupportKonsoleEntwicklerDemo startenKontakt

Kapitel 2. Authentifizierung

ca-certificate überarbeitet auf Version 2.4

Das ca-certificates-Paket wurde aktualisiert auf die Upstream-Version 2.4, die eine Reihe von Fehlerbehebungen und Verbesserungen gegenüber der vorherigen Version enthält. Insbesondere umfasst ca-certificates nun die folgenden Änderungen:
Mozilla entfernte in der Vergangenheit das Vertrauensmodell aus mehreren Legacy-CA-Zertifikaten, die 1024-bit RSA-Schlüssel enthielten. Diese Version des ca-certificates-Pakets bearbeitet die Mozilla-Liste, so dass diese die standardmäßig vertrauenswürdigen Legacy-CA-Zertifikate als solche beibehält. Die Änderung wurde vorgenommen, um die Kompatibilität mit vorhandenen PKI-Bereitstellungen und mit auf OpenSSL oder GnuTLS basierender Software zu gewährleisten.
Das ca-certificates Paket beinhaltet jetzt auch den ca-legacy-Befehl, der für die Aktivierung der erwähnten Kompatibilitätsänderungen verwendet weden kann. Auf der ca-legacy(8) man-Seite finden Sie weitere Informationen zur Verwendung des Befehls.
Benutzer, die die Legacy-Änderungen deaktivieren möchten, sollten den Knowledge Base Artikel 1413643 lesen, der Informationen zu diesen Änderungen liefert und mögliche Folgen von deren Deaktivierung nennt.
Beachten Sie, dass der CA-Speicher für die Verwendung des ca-legacy-Befehls erforderlich ist. Auf der update-ca-trust(8) man-Seite erfahren Sie, wie Sie den vereinheitlichten CA-Speicher aktivieren.

Support für unidirektionale Vertrauensmodelle

Identitätsverwaltung erlaubt es dem Benutzer jetzt, unidirektionale Vertrauensmodelle mit dem ipa trust-add-Befehl zu konfigurieren.

openldap Überarbeitung auf Version 2.4.40

Die openldap-Pakete wurden auf Upstream-Version 2.4.40 aktualisiert und bieten eine Reihe von Fehlerbehebungen sowie eine Verbesserung gegenüber der vorherigen Version. Insbesondere wurde die Reihenfolge übereinstimmender Regeln den ppolicy-Attributstypbeschreibungen hinzugefügt. Die Fehlerbehebungen umfassen unter anderem: Der Server beendet die Bearbeitung von SRV-Einträgen nicht mehr unerwartet, und es wurden fehlende objectClass-Informationen hinzugefügt, so dass der Benutzer die Front-end-Konfiguration standardmäßig bearbeiten kann.

Cache-Authentifizierung in SSSD

Die Authentifizierung beim Cache ohne Wiederverbindungsversuch ist jetzt sogar im Online-Modus in SSSD verfügbar. Die wiederholte Authentifizierung beim Netzwerkserver konnte zu einer exzessiven Applikationslatenz führen und den Anmeldeprozess ausgesprochen zeitaufwänding machen.

SSSD aktiviert UID- und GID-Mapping an individuellen Clients

Es ist jetzt möglich, Benutzer durch Konfiguration auf Clientseite mittels SSSD bei bestimmten Red Hat Enterprise Linux Clients zu unterschiedlichen UID und GID zu mappen. Diese Möglichkeit der clientseitigen Außerkraftsetzung kann durch UID- und GID-Duplizierung verursachte Probleme beheben .

SSSD kann jetzt den SSH-Zugriff auf gesperrte Accounts verweigern

In der Vergangenheit, als SSSD noch OpenLDAP als seine Authentifizierungsdatenbank verwendete, konnten sich Benutzer erfolgreich mittels eines SSH-Schlüssels beim System authentifizieren, selbst nachdem das Account gesperrt worden war. Der ldap_access_order-Parameter akzeptiert jetzt den ppolicy-Wert, der in der beschriebenen Situation dem Benutzer den SSH-Zugriff verweigern kann. Weitere Informationen zur Verwendung von ppolicy finden Sie in der ldap_access_order-Beschreibung auf der sssd-ldap(5) man-Seite.

Das sudo-Dienstprogramm kann jetzt den Befehl checksum prüfen

Die Konfiguration des sudo-Dienstprogramms kann jetzt die Prüfsumme eines Befehls oder Skripts das genehmigt wird speichern. Werden der Befehl oder das Skript erneut ausgeführt, so wird die Prüfsumme mit der gespeicherten Prüfsumme verglichen und so überprüft, dass sich nichts verändert hat. Bei Änderungen am Befehl oder der Binärdatei verweigert das sudo-Dienstprogramm die Ausführung des Befehls oder protokolliert eine Warnung. Diese Funktionalität gestattet die korrekte Übertragung von Verantwortlichkeit sowie die Fehlerbehebung, falls ein Problem auftritt.

SSSD Smartcard-Support

SSSD unterstützt jetzt Smartcards für die lokale Authentifizierung. Mit diesem Feature kann der Benutzer eine Smartcard beim System mittels einer textbasierten oder grafischen Konsole sowie lokale Dienste wie den sudo-Dienst verwenden. Der Benutzer platziert die Smartcard im Reader und gibt bei der Anmeldeaufforderung den Benutzernamen und die Smartcard-PIN ein. Wird das Zertifikat der Smartcard verifiziert, so ist der Benutzer erfolgreich authentifiziert.
Beachten Sie, dass SSSD dem Benutzer derzeit nicht den Erhalt eines Kerberos-Tickets mittels einer Smartcard ermöglicht. Für den Erhalt eines Kerberos-Tickets ist nach wie vor die Authentifizierung mittels des kinit-Dienstprogramms erforderlich.

Unterstützung mehrerer Profil-Zertifikate

Identitätsverwaltung unterstützt jetzt mehrere Profile für das Herausgeben von Server- und anderen Zertifikaten, statt nur ein Einzelserver-Zertifikatsprofil. Die Profile sind im Certificate System gespeichert.

Passwort-Vault

Ein neues Feature ermöglicht die sichere und zentrale Speicherung von privaten Benutzerdaten wie Passwörtern, und der Identitätsverwaltung wurden Schlüssel hinzugefügt. Der Passwort-Vault befindet sich auf dem Public Key Infrastructure (PKI) Key Recovery Authority (KRA) Subsystem.

DNSSEC-Support bei der Identitätsverwaltung

Identitätsverwaltungsserver mit integriertem DNS unterstützen jetzt DNS Security Extensions (DNSSEC), einen Satz von Erweiterungen zu DNS, die die Sicherheit des DNS-Protokolls verbessern. DNS-Zonen auf Identitätsverwaltungsservern können mittels DNSSEC automatisch unterschrieben werden. Die kryptografischen Schlüssel werden automatisch generiert und rotiert.
Benutzer, die ihre DNS-Bereiche mit DNSSEC sichern, sollten die folgenden Dokumente lesen und befolgen:
DNSSEC Betriebliche Praxis, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Bereitstellungshandbuch: http://dx.doi.org/10.6028/NIST.SP.800-81-2
Beachten Sie, dass Identitätsverwaltungsserver mit integriertem DNS DNSSEC zur Validierung von DNS-Antworten anderer DNS-Server verwenden. Dies kann Einfluss auf die nicht in Übereinstimmung mit den im Red Hat Enterprise Linux Networking Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices empfohlenen Namensgebungspraktiken konfigurierten DNS-Zonen haben.

Kerberos HTTPS Proxy in Identitätsverwaltung

Eine vollständig mit der Microsoft Kerberos KDC Proxy Protocol (MS-KKDCP) Implementierung kompatible Key Distribution Center (KDC) Proxy-Funktion ist jetzt in der Identitätsverwaltung verfügbar und erlaubt Clients den Zugriff auf KDC- und kpasswd-Dienste mittels HTTPS. Systemadministratoren können das Proxy jetzt am Netzwerkrand mit einem einfachen HTTPS-Reverse-Proxy offenlegen, ohne eine dedizierte Applikation einzurichten und zu verwalten.

Aktualisierungen im Hintergrund für gecachte Einträge

SSSD erlaubt nun die Out-of-Band-Aktualisierung gecachter Einträge im Hintergrund. Vor dieser Aktualisierung rief SSSD nach Ablauf der Gültigkeit gecachter Einträge, diese vom Remote-Server ab und speicherte diese erneut in der Datenbank, was zeitaufwändig war. Durch diese Aktualisierung werden Einträge sofort wiedergegeben, da das Back-End diese kontinuierlich aktualisiert. Beachten Sie, dass dies zu einer höheren Serverauslastung führt, da SSSD die Einträge periodisch herunterlädt statt nur auf Anfrage.

Caching für initgroups-Vorgänge

Das SSSD Fast Memory Cache unterstützt jetzt initgroups-Vorgänge, was die Bearbeitung von initgroups sowie die Performance mancher Applikationen wie GlusterFS und slapi-nis verbessert.

Mit mod_auth_gssapi optimierte Authentifizierung

Identitätsverwaltung verwendet jetzt das mod_auth_gssapi-Modul, welches GSSAPI-Aufrufe statt der direkten Kerberos-Aufrufe des früheren mod_auth_kerb-Moduls verwendet.

Benutzer-Lebenszyklusverwaltung

Die Benutzer-Lebenszyklusverwaltung verleiht dem Administrator eine größere Kontrolle hinsichtlich der Aktivierung und Deaktivierung von Benutzerkonten. Der Administrator kann jetzt neue Benutzerkonten bereitstellen, indem er diese einem speziellen Bereich hinzufügt, ohne diese vollständig zu aktivieren, inaktive Benutzerkonten aktiviert und somit vollständig betriebsbereit macht oder aber Benutzerkonten deaktiviert, ohne sie jedoch vollständig aus der Datenbank zu löschen.
Die Benutzer-Lebenszyklusverwaltung bringt maßgebliche Vorteile für IdM-Bereitstellungen. Beachten Sie, dass Benutzer dem Stage-Bereich direkt von einem standardmäßigen LDAP-Client mittels direkter LDAP-Operationen hinzugefügt werden können. In der Vergangenheit gestattete IdM die Benutzerverwaltung nur mittels IdM-Befehlszeilen-Tools oder dem IdM-Web-UI.

SCEP-Support in certmonger

Der certmonger-Dienst wurde aktualisiert, um das Simple Certificate Enrollment Protocol (SCEP) zu unterstützen. Es ist jetzt möglich, ein neues Zertifikat auszustellen und zu erneuern oder bestehende Zertifikate über SCEP zu ersetzen.

Neue Pakete: ipsilon

Die ipsilon-Pakete liefern den Ipsilon Identity-Provider-Dienst für vereinten Single-Sign-on (SSO). Ipsilon verbindet Authentifizierungs-Provider und Applikationen oder Dienstprogramme, um SSO zu ermöglichen. Es umfasst einen Server und Dienstprogramme zur Konfiguration von Apache-basierten Dienstanbietern.
Benutzer-Authentifizierung für Ipsilon-geliefertes SSO wird gegen ein separates Identity Management System, wie einen Identity Management Server durchgeführt. Ipsilon kommuniziert über vereinte Protokolle wie SAML oder OpenID mit verschiedenen Applikationen und Dienstprogrammen.

NSS erhöht die akzeptierten Mindestwerte für Schlüsselstärken

Die Network Security Services (NSS) Bibliothek in Red Hat Enterprise Linux 7.2 akzeptiert weder Diffie-Hellman (DH) Key-Exchange-Parameter, die kleiner als 768 Bits sind noch RSA- und DSA-Zertifikate mit Schlüsselgrößen von weniger als 1023 Bits. Das Erhöhen der minimalen Schlüsselstärke verhindert Angriffe, die bekannte Sicherheitsschwachstellen wie Logjam (CVE-2015-4000) und FREAK (CVE-2015-0204) ausnutzen.
Beachten Sie, dass Verbindungsversuche mit einem Server mit Schlüsseln, die schwächer als die neuen Mindestwerte sind, jetzt fehlschlagen, selbst wenn solche Verbindungen in früheren Versionen von Red Hat Enterprise Linux funktionierten.

nss und nss-util überarbeitet auf Version 3.19.1

Die nss- und nss-util-Pakete wurden auf Upstream-Version 3.19.1 aktualisiert, das eine Reihe von Fehlerbehebungen und Verbesserungen gegenüber der vorherigen Version bietet. Insbesondere ermöglicht die Aktualisierung Benutzern das Upgrade auf die Mozilla Firefox 38 Extended Support Release und verhindert Angriffe, die die Logjam-Sicherheitsschwachstelle CVE-2015-4000 ausnutzen.

Apache-Modules für IdM jetzt voll unterstützt

Die folgenden Apache-Module für Identity Management (IdM), die in Red Hat Enterprise Linux 7.1 als Technologievorschau hinzugefügt waren, werden jetzt voll unterstützt: mod_authnz_pam, mod_lookup_identity und mod_intercept_form_submit. Die Apache-Module können von externen Applikationen verwendet werden, um eine engere Interaktion mit IdM über eine einfache Authentifizierung hinaus zu erreichen.
Red Hat logoGithubRedditYoutubeTwitter

Lernen

Testen, kaufen und verkaufen

Communitys

Über Red Hat Dokumentation

Wir helfen Red Hat Benutzern, mit unseren Produkten und Diensten innovativ zu sein und ihre Ziele zu erreichen – mit Inhalten, denen sie vertrauen können.

Mehr Inklusion in Open Source

Red Hat hat sich verpflichtet, problematische Sprache in unserem Code, unserer Dokumentation und unseren Web-Eigenschaften zu ersetzen. Weitere Einzelheiten finden Sie in Red Hat Blog.

Über Red Hat

Wir liefern gehärtete Lösungen, die es Unternehmen leichter machen, plattform- und umgebungsübergreifend zu arbeiten, vom zentralen Rechenzentrum bis zum Netzwerkrand.

© 2024 Red Hat, Inc.