Capítulo 5. Autenticación e interoperabilidad

Una cantidad de funcionalidades introducidas en Red Hat Enterprise Linux 6.3 ahora están soportadas totalmente en Red Hat Enterprise Linux 6.4

La versión 1.10 de Kerberos adicionó un nuevo tipo de almacenamiento cache, DIR:, el cual le permite mantener tiquetes que otorgan de forma simultánea un tiquete (TGT) a centros de distribución de llaves multiples (KDC) y autoseleccionan entre ellos cuando negocian con recursos kerberizados. En Red Hat Enterprise Linux 6.4, SSSD ha sido mejorado para permitirle seleccionar la cache DIR: para usuarios que se conectan mediante SSSD. Esta funcionalidad se introduce como una Muestra de tecnología.

En Red Hat Enterprise Linux 6.4, el comando ipa group-add-member le permite añadir miembros de dominios de confianza basados en directorios activos a grupos marcados como externos en manejo de identidad. Dichos miembros pueden ser especificados por su nombre mediante una sintaxis de dominio o de UPN, por ejemplo AD\NombredeUsuario o AD\NombredeGrupo, o Usuario@AD.Dominio. Cuando se especifica de esta forma, los miembros se resuelven con Catálogo global de dominio confiable basado en Directorios activos para obtener su valor identificador de seguridad (SID).

Alternativamente, un valor SID podría especificarse directamente. En este caso, el comando ipa group-add-member solo verificará que la parte del dominio del valor de SID sea uno de los dominios confiables de Active Directory. No se hará ningún intento para verificar la validez del SID dentro del dominio.

Es recomendable usar la sintaxis de nombre de usuario o grupo para especificar los miembros externos en lugar de proveer sus valores SID de forma directa.

El periodo de validez predeterminado para una Autoridad certificadora (CA) es de 10 años. La CA expide certificados para sus subsistemas (OCSP, registro de auditoría y otros). Los certificados de subsistemas son normalmente válidos por 2 años. Si los certificados expiran, la CA no inicia o no funciona adecuadamente. Por lo tanto, en Red Hat Enterprise Linux 6.4, los servidoress de administración de identidad pueden renovar de forma automática sus certificados de subsistemas. Los certificados de subsistemas son rastreados por certmonger, el cual intenta automáticamente renovar los certificados antes de que expiren.

En Red Hat Enterprise Linux 6.4, OpenLDAP se configura automáticamente con la URI de LDAP predeterminada, un Nombre distinguido de base y un certificaado TLS durante la instalación de Administración de identidad de cliente. Esto mejora la experiencia de usuario al realizar búsquedas LDAP para el servidor de directorio de Administración de identidad.

El paquete python-nss que proporciona los vínculos para Servicios de seguridad de red (NSS) y el Tiempo de ejecución portátil de Netscape (NSPR), han sido actualizados para añadir soporte PKCS #12.

LDAP en Red Hat Enterprise Linux 6.4 incluye soporte de búsqueda persistente para ambas zonas y sus registros de recursos. La búsqueda persistente le permite al conector bind-dyndb-ldap infomarse inmediatamente de todos los cambios en una base de datos LDAP. También disminuye el uso de red de banda ancha requerido para sondeos repetidos.

Los elementos obsoletos en Base de datos del Vector de actualización de réplica (RUV) pueden retirarse con la operación CLEANRUV, la cual los retira en un único proveedor o maestro. Red Hat Enterprise Linux 6.4 añade la nueva operación CLEANALLRUV, la cual retira datos RUV obsoletos de todas las réplicas y necesita ejecutarse en un solo proveedor/maestro únicamente.

Las bibliotecas de samba4 (provistas por el paquete samba4-libs) han sido actualizadas a la última versión de la línea de desarrollo para mejorar la interoperabilidad con dominios de Active Directory (AD). Ahora SSSD usa la biblioteca libndr-krb5pac para leer el Certificado de atributos de privilegios (PAC) expedido por un Centro de distribución de llaves AD (KDC). Además, se han realizado varias mejoras a la Autoridad de seguridad local (LSA) y los serviciós de inicio de sesión de red para permitir la verificación de confianza desde un sistema de Windows. Para obtener información sobre la introducción de kerberos de cruce de dominios que depende de paquetes samba4, consulte “Cruce de funcionalidad de confianza de dominio de kerberos en manejo de identidad”.

Puesto que la funcionalidad de confianza de cruce de dominos de kerberos es considerada una Muestra de tecnología, los componentes seleccionados de samba4 se consideran una Muestra de tecnología. Para obtener mayor información sobre qué paquetes de Samba son considerados una Muestra de tecnología, consulte Tabla 5.1, “Soporte de paquete Samba4”.

El cruce de funcionalidad de confianzas de dominio de kerberos provisto por el manejo de identidad se incluye como Muestra de tecnología. Esta funicionalidad le permite crear una relación de confianza entre una administración de identidad y un dominio de directorio activo. Es decir que los usuarios del dominio AD pueden acceder a recursos y servicios desde el dominio de administración de identidad con sus credenciales AD. No se necesita sincronizar datos entre el manejo de identidad y los controladores de dominio AD; el usuario AD siempre se autentica con el controlador de dominio AD y la información sobre usuarios puede buscarse sin necesidad de sincronización.

Esta funcionalidad es proporcionada por el paquete opcional ipa-server-trust-ad. Dicho paquete depende de funcionalidades que solo están disponibles en samba4. Puesto que los paquetes de samba4-* están en conflicto con los paquetes correspondientes de samba-*, todos los paquetes de samba-* se deben retirar antes de que ipa-server-trust-ad pueda ser instalado.

Cuando se instale el paquete ipa-server-trust-ad, el comando ipa-adtrust-install debe ejecutarse en todos los servidores de Administración de identidad y réplicas para que la Administración de identidad maneje confianzas. Al hacer esto, se puede establecer una confianza en la línea de comandos mediante ipa trust-add o la WebUI. Para obtener mayor información, consulte la sección Integración de directorio activo a través de confianzas de kerberos de dominios cruzados en la Guía de administración de identidad en https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

El Active Directory (AD) de Windows soporta el esquema POSIX (RFC 2307 y 2307bis) para entradas de usuarios y grupos. En muchos casos, AD sirve como fuente autoritativa de datos de usuarios y grupos, incluidos los atributos de POSIX. Con Red Hat Enterprise Linux 6.4, la sincronización del servidor de directorio de Windows ya no ignora dichos atributos. Los usuarios ahora pueden sincronizar los atributos de POSIX con Windows Sync entre AD y el servidor de directorio 389.