Capítulo 5. Autenticación e interoperatividad
Anteriormente, no era posible administrar centralmente el host y las llaves públicas SSH de usuario. Red Hat Enterprise Linux 6.3 incluye como Muestra de tecnología, la administración de llaves públicas SSH para administrar la identidad de servidores . OpenSSH en clientes de administración de identidad se configura de forma automática para usar llaves públicas que se almacenan en el servidor de administración de identidad. Ahora, el host SSH y las identidades de usuario se pueden administrar de forma central en Administración de identidad. BZ#803822n
Red Hat Enterprise Linux 6.3 introduce la capacidad de controlar el contexto de un usuario SELinux en un sistema remoto. Las reglas de mapas de usuario de SELinux se pueden definir y opcionalmente, asociar con reglas HBAC. Estos mapas definen el contexto que un usuario recibe según el host al que está ingresando y la membresía de grupos. Cuando un usuario ingresa a un host remoto que está configurado para usar SSSD con la Administración de identidad en segundo plano, el contexto de SELinux se establece automáticamente de acuerdo con las reglas de asignación definidas para el usuario. Para obtener mayor información, consulte http://freeipa.org/page/SELinux_user_mapping. Esta funcionalidad se considera como una Muestra de tecnología. BZ#803821
Ahora, SSH puede configurarse para las múltiples formas de autenticación requeridas (mientras que antes SSH admitía múltiples formas de autenticación, de las cuales solamente una se requería para ingresar); por ejemplo, el ingreso a una máquina con SSH-habilitado requiere el ingreso de una frase de paso y una llave pública. Las opciones RequiredAuthentications1
y RequiredAuthentications2
se pueden configurar en el archivo /etc/ssh/sshd_config
para especificar autenticaciones requeridas para ingresar. Por ejemplo:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config
/etc/ssh/sshd_config
options, consulte la página man de sshd_config
. BZ#657378
En Red Hat Enterprise Linux 6.3, SSSD incluye una nueva funcionalidad de Muestra de tecnología: soporte para guardar en cache mapas de automontaje. Esta característica proporciona varias ventajas para los entornos que operan con autofs
:
- Los mapas de automontaje guardados en cache facilitan a la máquina cliente las operaciones de montaje incluso cuando el servidor LDAP no está disponible, pero el servidor NFS sí lo está.
- Cuando el demonio
autofs
está configurado para buscar mapas de automontaje a través de SSSD, únicamente se debe configurar el archivo individual:/etc/sssd/sssd.conf
. Anteriormente, el archivo/etc/sysconfig/autofs
tenía que ser configurado para buscar los datos de autofs. - El almacenamiento en cache de los mapas de automontaje produce un rápido rendimiento en el cliente y disminuye el tráfico en el servidor LDAP. BZ#761570
SSSD cambió el comportamiento de la opción debug_level
en el archivo /etc/sssd/sssd.conf
. Anteriormente, era posible establecer la opción debug_level
en la sección de configuración [sssd]
y el resultado sería que se convertiría en la predeterminada para otras secciones de configuración, a menos que ellas la invaliden explícitamente.
debug_level
siempre fuera especificada de forma independiente en cada sección del archivo de configuración, en lugar de adquirir la predeterminada de la sección [sssd]
.
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py
debug_level
fue especificada en la sección [sssd]
. Si lo fue, añade ese mismo valor de nivel a cada sección en el archivo sssd.conf
para el cual no se especifica debug_level
. Si la opción debug_level
ya existe de forma explícita en otra sección, no se modificará.
Una nueva opción, ldap_chpass_update_last_change
, ha sido añadida a la configuración SSSD. Si dicha opción está habilitada, SSSD intenta cambiar el atributo de LDAP shadowLastChange
a la hora actual. Observe que solamente se relaciona al caso cuando se utiliza la política de contraseña LDAP (encargada generalmente del servidor LDAP), es decir, la operación extendida de LDAP se utiliza para cambiar la contraseña. Observe también que el atributo tiene que ser de escritura para el usuario que está cambiando la contraseña. BZ#739312