Capítulo 5. Autenticação e Interoperabilidade

Diversos recursos introduzidos no Red Hat Enterprise Linux 6.3 são agora suportados no Red Hat Enterprise Linux 6.4. Especialmente:

Versão do Kerberos 1.10 adicionou um novo tipo de armazenamento de cache, DIR:, que permite que o Kerberos mantenha o Ticket Granting Tickets (TGTs) para os Centros de Distribuição de Chave múltiplos (Key Distribution Centers - KDCs) simultâneamente e auto selecionar entre eles ao negociar com os recursos da consciência do Kerberos. No Red Hat Enterprise Linux 6.4, o SSSD foi aprimorado para permitir que você selecione o cache de DIR: para usuário que estejam se autenticando via SSSD. Este recurso é introduzido como uma Amostra de Tecnologia

No Red Hat Enterprise Linux 6.4, o comando ipa group-add-member permite que você adicione membros dos domínios confiáveis do Diretório Active em grupos marcados como external no Gerenciamento de Identidade. Estes membros podem ser especificados por seus nomes utilizando o domínio ou sintaxe baseada em UPN, por exemplo AD\UserName ou AD\GroupName, ou User@AD.Domain. Quando especificado nesta forma, os membros são resolvidos nos Catálogos Globais de domínios confiáveis baseados em Active Directory para obter seus valores de Security Identifier (SID).

Como forma alternativa, um valor SID poderia ser especificado diretamente. Neste caso o comando ipa group-add-member irá verificar somente se a parte do domínio do valor SID for um dos domínios confiáveis do Active Directory. Não haverá nenhuma tentativa de verificar a validade do SID dentro do domínio.

Recomenda-se utilizar o usuário ou sintáxe de nome de grupo de membros externos ao invés de fornecer seus valores SID diretamente.

O período de validade padrão para uma nova Autoridade de Certificado é de 10 anos. O CA envia um número de certificados para seus subsistemas (OCSP, log de auditoria, entre outros). Os certificados do subsistema são geralmente válidos por 2 anos. Se os certificados expirarem, o CA não inicia ou não funciona adequadamente. Portanto, no Red Hat Enterprise Linux 6.4, os servidores de Gerenciamento de Identidade são capazes de renovar automaticamente seus certificados de subsistema. Os certificados de subsistema são rastreados por certmonger, que tenta automaticamente renovar os certificados antes que eles expirem.

No Red Hat Enterprise Linux 6.4, o OpenLDAP é configurado automaticamente com o padrão LDAP URI, um DN Base e um certificado TLS durante a instalação de cliente de Gerenciamento de Identidade. Isto aprimora a experiência do usuário ao realizar as buscas de LDAP para o Servidor de Diretório de Gerenciamento de Identidade.

O pacote python-nss, o qual fornece o binding do Python para os NSS - Network Security Services (Serviços de Segurança de Rede) e o NSPR - Netscape Portable Runtime (Tempo de Execução Portável de Netscape), foi atualizado para adicionar o suporte PKCS #12.

O LDAP no Red Hat Enterprise Linux 6.4 inclui suporte para busca persistente em ambas as zonas e suas gravações de recurso. A busca persistente permite que o plugin bind-dyndb-ldap seja informado imediatamente sobre as mudanças em um banco de dados LDAP. Isto também diminui o uso de largura da banda de rede requerido pela realização repetida de polls.

Os elementos obsoletos no Database Replica Update Vector (RUV) podem ser removidos com a operação CLEANRUV que os remove em um fornecedor único ou master. O Red Hat Enterprise Linux 6.4 adiciona uma nova operação CLEANALLRUV que pode remover dados obsoletos do RUV de todas as réplicas e precisam ser executadas somente em um fornecedor único ou master.

As bibliotecas do samba4 (fornecidas pelo pacote samba4-libs) forma atualizadas para a versão upstream mais recente para aprimorar a interoperabilidade com os domínios Active Directory (AD). O SSSD agora utiliza a biblioteca libndr-krb5pac para analisar o Privilege Attribute Certificate (PAC) enviado por um AD Key Distribution Center (KDC). Além disso, diversas melhorias foram feitas no Local Security Authority (LSA) e serviços Net Logon, para permitir verificação de trust de um sistema Windows. Para mais informações sobre a introdução da funcionalidade do Cross Realm Kerberos Trust que dependerá dos pacotes, samba4 consulte o “Funcionalidade do Cross Realm Kerberos no Gerenciamento de Identidade”.

Como a função do Cross Realm Kerberos Trusté considerada uma Amostra de Tecnologia, os componentes selecionados do samba4 são também considerados uma Amostra de Tecnologia. Para mais informações sobre quais pacotes do Samba que são considerados como Amostra de Tecnologia, consulte o Tabela 5.1, “Suporte do Pacote Samba4 ”.

A função Cross Realm Kerberos Trust fornecida pelo Gerenciamento de Identidade está incluso como uma Amostra de Tecnologia. Este recurso permite criar um relacionamento de confiança entre um Gerenciamento de Identidade e um domínio Active Directory. Isto significa que os usuários do domínio AD podem acessar recursos e serviços a partir do domínio de Gerenciamento de Identidade com suas credenciais do AD. Nenhum dado precisa ser sincronizado entre o Gerenciamento de Identidade e os controladores do domínio de AD; O usuário de AD é sempre autenticado no controlador do domínio AD e informações sobre usuário é sempre verificada sem a necessidade de sincronização.

Este recurso é fornecido pelo pacote opcional ipa-server-trust-ad. Este pacote depende dos recursos que estão disponíveis somente no samba4. Como os pacotes do samba4-* conflitam com os pacotes correspondentes do samba-* todos os pacotes do samba-* devem ser removidos antes do ipa-server-trust-ad ser instalado.

Quando o pacote ipa-server-trust-ad é instalado, o comando ipa-adtrust-install deve ser executado em todos os servidores de Gerenciamento de Identidade (Identity Management) e replicado para que o Gerenciamento de Identidade possa lidar com os trusts. Depois de realizado, um trust pode ser estabelecido na linha de comando utilizando o ipa trust-add ou WebUI. Para mais informações, consulte a seção Integrating with Active Directory Through Cross-Realm Kerberos Trusts no Identity Management Guide em https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/.

O Windows Active Directory (AD) suporta o esquema de POSIX (RFC 2307 e 2307bis) para entradas de grupos de usuários. Em diversos casos, o AD é utilizado como uma fonte autoritativa de dados de usuário e grupos, incluindo atributos do POSIX. Com o Red Hat Enterprise Linux 6.4, o Servidor de Diretório Windows Sync não ignora mais estes atributos. Os usuários agora podem sincronizar os atributos do POSIX sem a Sincronização do Windows entre o AD e o Servidor do Diretório 389.