Capítulo 3. Autenticação e Interoperabilidade
Suporte SSSD ao cartão inteligente
O SSSD oferece suporte agora a cartões inteligentes para autenticação local. Com este recurso, o usuário pode usar um cartão inteligente para fazer log on no sistema utilizando um console gráfico ou baseado em texto, assim como serviços locais, como o serviço sudo. O usuário deve colocar o cartão inteligente no leitor e fornecer o nome do usuário e o código PIN do cartão no aviso de login. Se o certificado no cartão inteligente for verificado, o usuário é autenticado com êxito.
Observe que o SSSD não permite, atualmente, que o usuário adquira um tíquete Kerberos utilizando um cartão inteligente. Para obter um tíquete Kerberos, o usuário ainda é solicitado a fazer a autenticação usando o utilitário
kinit
.
Para habilitar o suporte ao cartão inteligente no Red Hat Enterprise Linux 6, você deve permitir que o SSSD solicite uma senha, uma senha de uso único (OTP) ou o código PIN do cartão, modificando as linhas
auth
dos arquivos de configuração PAM /etc/pam.d/password-auth
e /etc/pam.d/system-auth
. Para informações mais detalhadas, consulte o Guia de Gerenciamento de Identidade: http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards
Autenticação de cache em SSSD
A autenticação ao cache sem uma tentativa de reconexão está disponível agora em SSSD, mesmo em modo online. A autenticação direta ao servidor de rede de forma repetida pode gerar uma latência excessiva ao aplicativo, deixando o processo de login bastante lento.
A parte ou=sudoers,$DC da árvore de compatibilidade de plug-ins do servidor IdM agora pode ser desabilitada para melhor desempenho
O cliente IdM (Gerenciamento de Identidade) agora é capaz de pesquisar as regras
sudo
na parte cn=sudorules,cn=sudo,$DC
da árvore LDAP do servidor IdM, em vez da árvore de compatibilidade ou=sudoers,$DC
gerada pelo plug-in do Servidor de Diretório slapi-nis
.
Nos ambientes onde a árvore de compatibilidade não é necessária para outras operações, tais como para o suporte ao cliente legado, os usuários agora podem desabilitar a parte
ou=sudoers,$DC
da árvore. Isto possibilta um melhor desempenho, pois a geração da árvore de compatibilidade com slapi-nis
faz uso intensivo de recursos, principalmente em ambientes com uma grande quantidade de operações de autenticação.
SSSD habilita o mapeamento do UID e GID em clientes individuais
Agora é possível mapear usuários a um UID e GID diferente em certos clientes Red Hat Enterprise Linux através da configuração do lado do cliente usando o SSSD fornecido pelo utilitário
sss_override
. Essa possibilidade de substituição do lado do cliente pode resolver os problemas causados pela duplicação do UID e GID ou facilitar a transição de um sistema legado que usava anteriormente um mapeamento de ID diferente.
Observe que as substituições ficam armazenadas no cache SSSD e a remoção do cache também remove as substituições. Consulte a página manual sss_override(8) para mais detalhes sobre este recurso.
Cache para as operações initgroups
A rápida memória cache SSSD agora fornece suporte às operações
initgroups
, o que aumenta a velocidade de processamento de initgroups
e melhora o desempenho de alguns aplicativos, como GlusterFS e slapi-nis
.
Novos pacotes: adcli
Esta atualização adiciona os pacotes adcli ao Red Hat Enterprise Linux 6. O utilitário
adcli
permite que os usuários gerenciem o host, o usuário e agrupem os objetos no AD (Active Directory) a partir do cliente Red Hat Enterprise Linux 6. O principal uso do utilitário é unir um host a um domínio AD e renovar as credenciais do host.
O utilitário
adcli
reconhece o site e não necessita de configuração adicional para unir-se a um domínio AD. Nos clientes que executam o serviço SSSD, adcli
pode renovar as credenciais do host regularmente.
SSSD agora é capaz de renovar automaticamente as credenciais do host dos clientes Linux unidos ao AD
Alguns utilitários Windows podem remover os hosts através do AD (Active Directory), caso as senhas deles não tenham sido atualizadas por muito tempo. Isto ocorre porque esses utilitários consideram tais clientes inativos.
Com este recurso, a senha do host dos clientes Linux associada ao AD é atualizada regularmente, indicando que o cliente ainda é usado de maneira ativa. Assim, os clientes Red Hat Enterprise Linux associados ao AD não são removidos diante da situação descrita.
SSSD agora pode ajustar automaticamente intervalos de ID para os clientes AD em ambientes com amplos RIDs
O mecanismo automático de mapeamento de ID incluído no serviço SSSD agora é capaz de mesclar domínios de intervalo de ID. Anteriormente, se o RID (ID relativo) do domínio AD (Active Directory) fosse maior que 20.000, que é o tamanho padrão do intervalo de ID determinado pelo SSSD, o administrador era solicitado a ajustar manualmente o intervalo de ID para corresponder ao RID.
Com este aprimoramento, para os clientes AD com o mapeamento de ID habilitado, o SSSD passa a ajustar automaticamente os intervalos de ID na situação descrita. Assim, o administrador não precisa mais de ajustar o intervalo de ID manualmente, e o mecanismo padrão de mapeamento de ID do SSSD funciona até mesmo em ambientes AD amplos.
SSD agora fornece suporte a GPOs de diferentes controles de domínio
O SSD foi atualizado para fornecer suporte a GPOs (objetos de diretiva de grupo) a partir de diferentes controles de domínio.