Capitolo 5. Autenticazione ed interoperatibilità
Precedentemente non era possibile gestire centralmente le chiavi pubbliche SSH sia per l'utente che per l'host. Red Hat Enterprise Linux 6.3 include una gestione della chiave pubblica SSH per i server di Gestione dell'identità come Anteprima di tecnologia. OpenSSH sui client di Gestione dell'identità viene configurato automaticamente in modo da usare le chiavi pubbliche archiviate sul server per la Gestione dell'identità. Le identità utente ed host SSH possono ora essere gestite centralmente utilizzando la Gestione dell'identità. BZ#803822n
Red Hat Enterprise Linux 6.3 introduce la possibilità di controllare il contesto di SELinux di un utente su di un sistema remoto. Le regole di mappatura utente di SELinux possono essere definite e, facoltativamente, associate con regole HBAC. Le suddette mappature definiscono il contesto ricevuto dall'utente in base all'host utilizzato per il login e l'appartenenza del gruppo. Quando un utente esegue un login in un host remoto configurato in modo da utilizzare SSSD con il beckend di Gestione dell'identità, il contesto SELinux dell'utente viene automaticamente impostato sulle regole di mappatura definite per l'utente in questione. Per maggiori informazioni consultare http://freeipa.org/page/SELinux_user_mapping. Questa funzione viene considerata una Anteprima di tecnologia. BZ#803821
È ora possibile impostare SSH in modo da richiedere metodi multipli di autenticazione (anche se in precedenza SSH abilitava metodi multipli di autenticazione solo un metodo era necessario per il login); per esempio, la registrazione in una macchina abilitata a SSH richiede l'utilizzo sia di una frase d'accesso che di una chiave pubblica. Le opzioni RequiredAuthentications1 e RequiredAuthentications2 possono essere configurate nel file /etc/ssh/sshd_config in modo da specificare le autenticazioni necessarie per un corretto login. Per esempio:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config/etc/ssh/sshd_config, consultate la pagina man di sshd_config. BZ#657378
Con Red Hat Enterprise Linux 6.3 SSSD include una nuova funzione come Anteprima di tecnologia: il supporto per la memorizzazione in cache delle mappe di automount. Questa funzione fornisce nuovi vantaggi per gli ambienti che utilizzano autofs:
- Le mappe di automount memorizzate in cache facilitano le operazioni di montaggio da parte delle macchine client anche quando il server LDAP non è raggiungibile ma il server NFS risulta ancora raggiungibile.
- Quando il demone
autofsviene configurato in modo da eseguire una ricerca delle mappe automount tramite SSSD, è possibile configurare un solo file:/etc/sssd/sssd.conf. In precedenza era necessario eseguire la configurazione del file/etc/sysconfig/autofsper il ripristino dei dati di autofs. - La memorizzazione in cache delle mappe automount migliora le prestazioni dei client e diminuisce il traffico sul server LDAP. BZ#761570
È stato ora modificato il comportamento in SSSD dell'opzione debug_level nel file /etc/sssd/sssd.conf. In precedenza era possibile impostare l'opzione debug_level nella sezione di configurazione [sssd] avendo come risultato la sua impostazione predefinita per altre sezioni di configurazione, a meno che non veniva sovrascritta arbitrariamente da una nuova impostazione.
debug_level in ogni sezione del file di configurazione, al posto di acquisire la propria impostazione predefinita dalla sezione [sssd].
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.pydebug_level è stata specificata nella sezione [sssd]. Se presente verrà aggiunto lo stesso valore del livello ad ogni altra sezione presente nel file sssd.conf per il quale l'opzione debug_level non è stata specificata. Al contrario, se l'opzione debug_level è stata specificata in un'altra sezione, essa non verrà modificata.
È stata aggiunta una nuova opzione, ldap_chpass_update_last_change,alla configurazione di SSSD. Se questa opzione è stata abilitata, SSSD cercherà di modificare l'attributo LDAP shadowLastChange all'ora corrente. Da notare che ciò si riferisce solo nel caso in cui viene utilizzata la politica relativa alla password LDAP (generalmente gestita dal server LDAP), e cioè, la funzione estesa di LDAP viene utilizzata per modificare la password. Da notare altresì che l'utente che modifica la password deve essere in grado di modificare l'attributo. BZ#739312
