Capitolo 5. Autenticazione ed interoperatibilità
Funzioni supportate di SSSD
Un certo numero di funzioni introdotte con Red Hat Enterprise Linux 6.3 sono ora completamente supportate in Red Hat Enterprise Linux 6.4. Esse comprendono:
- supporto per una gestione centrale delle chiavi SSH
- Mappatura utente SELinux
- e supporto per la memorizzazione in cache per la mappa di automount.
Nuova tipologia di storage in cache SSSD
La versione 1.10 di Kerberos rende disponibile un nuovo tipo di storage in cache,
DIR:
, che permette a Kerberos di mantenere simultaneamente i Ticket Granting Ticket (TGT) per Key Distribution Center (KDC) multipli ed eseguire una selezione automatica tra di essi durante una negoziazione con risorse conformi a kerberos. Con Red Hat Enterprise Linux 6.4, SSSD è stato migliorato ed ora permette di selezionare un cache DIR:
per utenti registrati usando SSSD. Questa funzione è stata introdotta come Anteprima di tecnologia.
Aggiunta di domini fidati basati su AD ai gruppi esterni
Con Red Hat Enterprise Linux 6.4 il comando
ipa group-add-member
permette di aggiungere i membri dei domini fidati basati sull'Active Directory ai gruppi contrassegnati come esterni
alla Identity Management. È possibile specificare i suddetti membri in base al nome utilizzando domain- o la sintassi basata su UPN, per esempio AD\UserName
o AD\GroupName
, o User@AD.Domain
. Se specificati con questo formato i membri vengono risolti usando il Global Catalog del dominio fidato basato sulla Active Directory per ottenere il valore del Security Identifier (SID).
Alternativamente è possibile specificare direttamente un valore per il SID. In questo caso il comando
ipa group-add-member
verificherà solo che la parte del dominio relativo al suddetto valore risulti essere uno dei domini fidati di Active Directory. Non verrà eseguito alcun tentativo di verifica della validità per il SID all'interno del dominio.
È consigliato utilizzare una sintassi per il nome del gruppo o dell'utente per specificare membri esterni al posto di fornire direttamente i rispettivi valori SID.
Rinnovo-automatico dei Certificati del sottosistema per l'Identity Management
Il periodo di validità predefinito per un nuovo Certificate Authority è 10 anni. Il CA emette un numero di certificati per i propri sottosistemi ((OCSP, audit log, e altri). I certificati del sottosistema sono generalmente validi per 2 anni. Se i certificati scadono il CA non eseguirà alcun avvio o non sarà in grado di operare correttamente. Per questo motivo con Red Hat Enterprise Linux 6.4 i server di Identity Management sono in grado di rinnovare automaticamente i certificati dei sottosistemi. I certificati sono monitorati da certmonger il quale cercherà di rinnovare automaticamente i certificati prima della loro scadenza.
Configurazione automatica dei tool del cient OpenLDAP sui client interessati alla Identity Management
Con Red Hat Enterprise Linux 6.4, OpenLDAP viene configurato automaticamente con un LDAP URI predefinito, un DN di Base, ed un certificato TLS durante l'installazione del client per Identity Management. Ciò migliorerà l'esperienza dell'utente durante le ricerche LDAP per l'Identity Management Directory Server.
PKCS#12 Supporto per python-nss
Il pacchetto python-nss, il quale fornisce le associazioni Python per il Network Security Services (NSS) e Netscape Portable Runtime (NSPR), è stato aggiornato ed ora rende disponibile il supporto PKCS #12.
Ricerca persistente del DNS
Con Red Hat Enterprise Linux 6.4 LDAP include un supporto per le ricerche persistenti sia per le zone che per le informazioni sulle risorse relative. Questo tipo di ricerca permette al plugin bind-dyndb-ldap di essere informato immediatamente su tutte le modifiche avvenute in un database LDAP. Esso diminuisce altresì l'uso della larghezza di banda necessaria.
Nuova operazione CLEANALLRUV
Elementi obsoleti in un Database Replica Update Vector (RUV) possono essere rimossi con una operazione
CLEANRUV
, la quale esegue una rimozione su un distributore singolo o master. Red Hat Enterprise Linux 6.4 rende disponibile una nuova operazione CLEANALLRUV
la quale è in grado di rimuovere i dati RUV più vecchi, questa operazione può essere eseguita solo su un distributore/master singoli.
Aggiornate le librerie samba4
Le librerie samba4 (rese disponibili dal pacchetto samba4-libs) sono state aggiornate all'ultimissima versione, ciò apporta un miglioramento dell'interoperabilità con i domini dell'Active Directory (AD). SSSD utilizza ora la libreria
libndr-krb5pac
per analizzare il Privilege Attribute Certificate (PAC) emesso da un AD Key Distribution Center (KDC). Sono stati apportati altresì vari miglioramenti al Local Security Authority (LSA) ed ai servizi Net Logon, ed ora è possibile una verifica dei rapporti fidati di un sistema Windows. Per informazioni sulla introduzione della funzionalità Cross Realm Kerberos Trust, la quale dipende dai pacchetti samba4, consultare sezione chiamata «Funzionalità Cross Realm Kerberos Trust in Identity Management».
Avvertimento
SE desiderate eseguire un avanzamento di versione da Red Hat Enterprise Linux 6.3 a Red Hat Enterprise Linux 6.4 ed usate Samba, assicuratevi di rimuovere il pacchetto samba4 in modo da evitare conflitti durante il processo di aggiornamento.
Poichè la funzionalità Cross Realm Kerberos Trust è considerata una Anteprima di tecnologia, determinati componenti samba4 sono anch'essi considerati Anteprime di tecnologia. Per maggiori informazioni sui pacchetti Samba considerati Anteprima di tecnologia consultare Tabella 5.1, «Supporto pacchetto Samba4».
Nome del pacchetto | Nuovo pacchetto in 6.4? | Stato supporto |
---|---|---|
samba4-libs | No | Anteprima di teconologia ad eccezione della funzionalità prevista da OpenChange |
samba4-pidl | No | Anteprima di teconologia ad eccezione della funzionalità prevista da OpenChange |
samba4 | No | Anteprima di teconologia |
samba4-client | Si | Anteprima di teconologia |
samba4-common | Si | Anteprima di teconologia |
samba4-python | Si | Anteprima di teconologia |
samba4-winbind | Si | Anteprima di teconologia |
samba4-dc | Si | Anteprima di teconologia |
samba4-dc-libs | Si | Anteprima di teconologia |
samba4-swat | Si | Anteprima di teconologia |
samba4-test | Si | Anteprima di teconologia |
samba4-winbind-clients | Si | Anteprima di teconologia |
samba4-winbind-krb5-locator | Si | Anteprima di teconologia |
Funzionalità Cross Realm Kerberos Trust in Identity Management
La funzionalità Cross Realm Kerberos Trust fornita dall'Identity Management è stata inclusa come Anteprima di tecnologia. Questa funzione permette di creare un rapporto di fiducia tra un Identity Management ed un dominio Active Directory. Ciò significa che gli utenti di un dominio AD sono in grado di accedere alle risorse e ai servizi di un dominio Identity Management, usando le proprie credenziali AD. Non sarà necessaria alcuna sincronizzazione dei dati tra i controllori del dominio AD e l'Identity Management; gli utenti dell'AD verranno sempre autenticati usando il controllore del dominio AD e non sarà necessaria alcuna sincronizzazione delle informazioni relative agli utenti.
Questa funzione è resa disponibile dal pacchetto ipa-server-trust-ad. Il pacchetto dipende da funzioni disponibili solo in samba4. Poichè i pacchetti samba4-* entrano in conflitto con i pacchetti samba-* corrispondenti, tutti i pacchetti samba-* devono essere rimossi prima di installare ipa-server-trust-ad.
Dopo l'installazione del pacchetto ipa-server-trust-ad eseguire il comando
ipa-adtrust-install
su tutti i server Identity Management e le repliche. Così facendo sarà possibile abilitare una gestione dei rapporti di fiducia da parte dell'Identity Management. Successivamente potrete instaurare un rapporto di fiducia utilizzando il comando ipa trust-add
o la WebUI. Per maggiori informazioni consultare la sezione Integrazione con l'Active Directory attraverso i Cross-Realm Kerberos Trust disponibile nella Identity Management Guide su https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.
Supporto schema Posix per il Directory Server 389
Windows Active Directory (AD) supporta lo schema POSIX (RFC 2307 e 2307bis) per le voci relative ai gruppi ed utenti. In numerosi casi AD viene usato come sorgente autorevole per dati di utenti e gruppi, incluso gli attributi POSIX. Con Red Hat Enterprise Linux 6.4, la Directory Server Windows Sync non ignora più i suddetti attributi. Gli utenti sono ora in grado di sincronizzare gli attributi POSIX con Windows Sync tra AD e 389 Directory Server.
Nota
Durante l'aggiunta al Directory Server di voci relative ai gruppi e utenti gli attributi POSIX non verrannoo sincronizzati con AD. Con l'aggiunta di nuove voci su AD verrà eseguita una sincronizzazione con il Directory Server, mentre una loro modifica renderà possibile una sincronizzazione in entrambe le modalità.