Capitolo 2. Autenticazione
ca-certificate aggiornato alla versione 2.4
Il pacchetto ca-certificates è stato aggiornato alla versione upstream 2.4, ora sono disponibili alcune correzioni e miglioramenti rispetto alla versione precedente. In particolare ca-certificates presenta ora le seguenti modifiche:
In passato Mozilla rimuoveva il rapporto di fiducia con numerosi certificati CA preesistenti contenenti chiavi RSA a 1024-bit. Questa versione del pacchetto ca-certificates modifica l'elenco di Mozilla in modo da mantenere un rapporto fidato, per impostazione predefinita, con i suddetti certificati. Queste modifiche sono state apportate per garantire una compatibilità con implementazioni PKI esistenti e con software basati su OpenSSL o GnuTLS.
Il pacchetto ca-certificates include ora il comando
ca-legacy
, utilizzabile per disabilitare le modifiche di compatibilità precedentemente indicate. Consultare la pagina man ca-legacy(8) per maggiori informazioni su come utilizzare questo comando.
È consigliato agli utenti che desiderano disabilitare queste modifiche di consultare l'articolo del Knowledgebase 1413643, il quale fornisce le informazioni sulle suddette modifiche insieme alle possibili conseguenze se disabilitate.
Da notare che l'utilizzo del CA store unificato è necessario per utilizzare il comando
ca-legacy
. Consultare la pagina man di update-ca-trust(8) su come abilitare un CA store unificato.
Supporto per rapporti fidati unidirezionali
L'Identity Management permette ora all'utente di configurare un rapporto fidato unidirezionale tramite l'esecuzione di
ipa trust-add
.
openldap
aggiornato alla versione 2.4.40
I pacchetti openldap sono stati aggiornati alla versione upstream 2.4.40, questa versione fornisce un certo numero di correzioni e miglioramenti rispetto alla versione precedente. In particolare, le regole per la corrispondenza ORDERING sono state aggiunte alle descrizioni del tipo di attributo
ppolicy
. Tra i bug corretti: Il server non viene più terminato inaspettatamente durante la processazione dei record SRV, sono state aggiunte le informazioni objectClass
mancanti, permettendo così all'utente di modificare una configurazione front-end seguendo gli standard previsti.
Autenticazione cache in SSSD
È ora disponibile con SSSD in modalità online l'autenticazione con la cache senza un tentativo di ricollegamento. L'autenticazione diretta ripetuta con il server di rete può causare una latenza eccezziva aumentando sensibilmente il tempo necessario per un processo di login.
SSSD abilita una mappatura UID e GID su client individuali
È ora possibile mappare gli utenti con UID e GID differenti su client Red Hat Enterprise Linux specifici attraverso una configurazione del client utilizzando SSSD. Questa impostazione può risolvere le problematiche causate da una duplicazione UID e GID.
SSSD è ora in grado di negare l'accesso SSH agli account bloccati
Quando SSSD utilizzava OpenLDAP come database di autenticazione gli utenti erano in grado di eseguire una autenticazione nel sistema utilizzando una chiave SSH anche quando l'account utente risultava bloccato. Il parametro
ldap_access_order
accetta ora il valore ppolicy
, il quale può negare l'accesso SSH all'utente in presenza di una situazione simile. Per maggiori informazioni sull'utilizzo di ppolicy
consultare la descrizione di ldap_access_order
disponibile nella pagina man di sssd-ldap(5).
L'utilità sudo è ora in grado di verificare il checksum del comando
La configurazione dell'utilità sudo è in grado di archiviare il checksum di un comando o script abilitato. All'esecuzione dello script o del comando, il checksum viene confrontato con il valore archiviato per verificare la presenza di eventuali modifiche. Se il comando, o il binario, è stato modificato sudo non esegue il comando o registra un messaggio d'avvertimento. Questa funzione devolve correttamente le attività per la risoluzione dei problemi e le responsabilità in presenza di un errore.
Supporto delle smart card SSSD
SSSD supporta ora le smart card per l'autenticazione locale. Con questa funzione l'utente può eseguire una smart card per la registrazione sul sistema usando una console grafica o basata sul testo, insieme ai servizi locali come ad esempio sudo. L'utente posiziona la smart card nel lettore fornendo il nome utente e il relativo PIN al momento del login. Se il cartificato della smart card è stato verificato correttamente, l'utente verrà autenticato.
Attualmente SSSD non permette all'utente di ottenere il ticket di Kerberos usando una smart card. A tale proposito l'utente dovrà utilizzare l'utilità kinit per la sua autenticazione.
Supporto profili multipli del certificato
Identity Management ora supporta i profili multipli per l'emissione di certificati del server e altri al posto di un profilo del certificato per un singolo server. I profili vengono archiviati nel Sistema del certificato.
Password Vault
È stata aggiunta all'Identity Management una nuova funzione che permette un'archiviazione centralizzata e sicura delle informazioni private degli utenti, come ad esempio password e chiavi. Password Vault aggiunge un livello ulteriore al sottosistema Public Key Infrastructure (PKI) Key Recovery Authority (KRA).
Supporto DNSSEC con l'Identity Management
I server dell'Identity Management con DNS integrato supportano ora le DNS Security Extensions (DNSSEC), un insieme di estensioni per DNS per il miglioramento della sicurezza del protocollo DNS. Le zone DNS presenti con i server dell'Identity Management possono essere firmate automaticamente utilizzando DNSSEC. Le chiavi crittografiche vengono generate e ruotate automaticamente.
È consigliato agli utenti che desiderano utilizzare questo livello di sicurezza offerto da DNSSEC, di consultare i documenti di seguito elencati:
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
Da notare che i server dell'Identity Management con DNS integrato utilizzano DNSSEC per convalidare le risposte DNS ricevute da altri server DNS. Ciò potrebbe interessare negativamente la disponibilità delle zone DNS non configurate in base al tipo di nomi consigliati descritti in Red Hat Enterprise Linux Networking Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices
Proxy HTTPS di Kerberos con Identity Management
Una funzione Key Distribution Center (KDC), utilizzabile con Microsoft Kerberos KDC Proxy Protocol (MS-KKDCP), è ora disponibile nella Identity Management e permette ai client di accedere ai servizi
kpasswd
e KDC utilizzando HTTPS. Gli amministratori di sistema possono ora esporre il proxy ai margini della propria rete utilizzando un proxy HTTPS inverso, senza impostare e gestire un'applicazione apposita.
Aggiornamento nel background delle voci memorizzate in cache
SSSD permette alle voci memorizzate in cache di essere aggiornate fuori banda nel background. In precedenza quando la validità delle voci in cache scadeva, SSSD le recuperava dal server remoto e le archiviava nel database, questa operazione poteva richiedere un periodo di tempo molto esteso. Con questo aggiornamento le voci possono essere ritornate in modo istantaneo poichè il backend le mantiene sempre aggiornate. Questa impostazione causa un carico più elevato sul server poichè SSSD scarica periodicamente le voci.
Memorizzazione in cache di operazioni initgroups
La cache di memoria rapida SSSD supporta ora le operazioni
initgroups
le quali migliorano la velocità di processazione initgroups e le prestazioni di alcune applicazioni, per esempio GlusterFS e slapi-nis
.
Negoziazione autenticazione semplificata con mod_auth_gssapi
L'Identity Management utilizza ora il modulo
mod_auth_gssapi
, il quale utilizza le chiamate GSSAPI per le chiamate di Kerberos dirette usate dal modulo mod_auth_kerb
.
Capacità di gestione del ciclo di vita dell'utente
La gestione del ciclo di vita dell'utente conferisce all'amministratore un maggior controllo sull'attivazione o disattivazione degli account. Gli amministratori possono ora eseguire il provisioning di nuovi account utente aggiungendoli in una area di stage senza attivarli, oppure attivarli o disattivarli in modo da renderli completamente operativi, o disattivarli senza rimuoverli completamente dal database.
Le capacità di gestione del ciclo di vita dell'utente rendono disponibili benefici importanti per le implementazioni IdM molto grandi. È possibile aggiungere gli utenti nell'area di stage direttamente da un client LDAP standard usando operazioni LDAP dirette. In precedenza IdM supportava solo la gestione degli utenti con strumenti a linea di comando IdM, o tramite l'IdM web UI.
Supporto SCEP in certmonger
È stato aggiornato il servizio
certmonger
per il supporto del Simple Certificate Enrollment Protocol (SCEP). È ora possibile emettere un nuovo certificato e rinnovare, o sostituire, quelli esistenti attraverso SCEP.
Nuovi pacchetti: ipsilon
I pacchetti ipsilon rendono disponibile il servizio per il provider dell'identità Ipsilon per il single sign-on (SSO) federato. Ipsilon vincola i provider per l'autenticazione e le applicazioni, o utilità, abilitando così un SSO. Esso include un server e le utilità per la configurazione dei provider dei servizi basati su Apache.
L'autenticazione utente per il SSO disponibile con Ipsilon viene eseguita tramite un sistema Identity Management separato, come ad esempio un server Identity Management. Ipsilon comunica con varie applicazioni e utilità attraverso protocolli federati, SAML o OpenID.
NSS aumenta i valori minimi accettati delle chiavi
La libreria Network Security Services (NSS) in Red Hat Enterprise Linux 7.2 non accetta più valori più piccoli di 768 bit per i parametri usati nello scambio delle chiavi Diffie-Hellman (DH), o certificati RSA e DSA con una dimensione delle chiavi minore di 1023 bit. L'aumento dei valori minimi accettati impedisce il verificarsi di attacchi alla sicurezza simili a Logjam (CVE-2015-4000) e FREAK (CVE-2015-0204).
Il tentativo di collegamento ad un server utilizzando chiavi più deboli rispetto ai nuovi valori minimi fallirà, anche se in passato era possibile stabilire una connessione su versioni precedenti di Red Hat Enterprise Linux.
nss e nss-util aggiornati alla versione 3.19.1
I pacchetti nss e nss-util sono stati aggiornati alla versione upstream 3.19.1. Ora sono disponibili un certo numero di correzioni e miglioramenti rispetto alla versione precedente. In particolare è ora possibile eseguire un aggiornamento a Mozila Firefox 38 Extended Support Release. Questo aggiornamento impedisce il verificarsi di attacchi Logjam CVE-2015-4000.
I moduli Apache per IdM sono ora completamente supportati
I seguenti moduli Apache per l'Identity Management (IdM), aggiunti come Anteprima di tecnologia in Red Hat Enterprise Linux 7.1, sono ora completamente supportati:
mod_authnz_pam
, mod_lookup_identity
e mod_intercept_form_submit
. I moduli Apache sono utilizzabili ora da applicazioni esterne per una migliore interazione con IdM.