第 5 章 认证和互操作性
SSSD 全面支持的功能
现在,Red Hat Enterprise Linux 6.4 中完全支持 Red Hat Enterprise Linux 6.3 中引入的许多功能。具体来说:
- 支持 SSH 密钥集中管理,
- SELinux 用户映射,
- 并支持自动挂载映射缓存。
新的 SSSD 缓存存储类型
Kerberos 版本 1.10 添加了一个新的缓存存储类型
DIR:,它允许 Kerberos 同时为多个密钥分发中心(KDC)维护 Ticket Granting Tickets (TGT)和在它们之间自动选择。在 Red Hat Enterprise Linux 6.4 中,SSSD 已被改进,您可以为通过 SSSD 登录的用户选择 DIR: 缓存。这个功能作为技术预览引进。
将基于 AD 的可信域添加到 外部 组
在 Red Hat Enterprise Linux 6.4 中,ipa group-add-member 命令允许您将基于 Active Directory 的可信域成员添加到身份管理中标记为
外部 的组中。这些成员可以通过其名称或基于 domain 或 UPN 的语法来指定,如 AD\UserName 或 AD\GroupName 或 User@AD.Domain。在这个表单中指定时,成员会根据基于 Active Directory 的可信域的全局目录解析,以获取其安全标识符(SID)值。
或者,可以直接指定 SID 值。在这种情况下,ipa group-add-member 命令只会验证 SID 值的域部分是可信 Active Directory 域之一。不会尝试验证域中 SID 的有效性。
建议您使用用户或组名称语法来指定外部成员,而不是直接提供其 SID 值。https://bugzilla.redhat.com/show_bug.cgi?id=875240
自动续订身份管理子系统证书
新证书颁发机构的默认有效期期限为 10 年。CA 为其子系统(OCSP、审计日志等)发布多个证书。子系统证书通常有效期为 2 年。如果证书过期,CA 不会启动或无法正常工作。因此,在 Red Hat Enterprise Linux 6.4 中,身份管理服务器能够自动更新其子系统证书。子系统证书由 certmonger 跟踪,这会在证书过期前自动尝试续订证书。
自动配置 OpenLDAP 客户端工具在身份管理中注册的客户端
在 Red Hat Enterprise Linux 6.4 中,OpenSSH 在身份管理客户端安装过程中自动配置默认的 LDAP URI、基础 DN 和 TLS 证书。这提高了在执行 LDAP 搜索 Identity Management Directory Server 时的用户体验。
python-nss的 PKCSGRESS 支持
python-nss 软件包(为网络安全服务(NSS)和 Netscape Portable Runtime (NSPR)提供 Python 绑定,以添加 PKCSeffort 支持。
对 DNS 的完整持久性搜索
Red Hat Enterprise Linux 6.4 中的 LDAP 包括对区域及其资源记录的永久搜索支持。持久性搜索允许 bind-dyndb-ldap 插件立即通知 LDAP 数据库中所有更改。它还减少了重复轮询所需的网络带宽使用量。
新的 CLEANALLRUV 操作
Database Replica Update Vector (RUV)中的过时的元素可以使用 CLEANRUV 操作删除,这会在单个供应商或 master 上删除它们。Red Hat Enterprise Linux 6.4 添加了一个新的 CLEANALLRUV 操作,它可以从所有副本中删除过时的 RUV 数据,需要只在单一供应商/ master 上运行。
samba4 Libraries Updated
samba4 库(由 samba4-libs 软件包提供)已升级至最新的上游版本,以提高与 Active Directory (AD)域的互操作性。SSSD 现在使用
libndr-krb5pac 库来解析 AD 密钥分发中心(KDC)发布的 Privilege Attribute 证书(PAC)。另外,对本地安全机构(LSA)和 Net Logon 服务进行了各种改进,以允许验证 Windows 系统的信任。有关基于 samba4 软件包的跨 Realm Kerberos Trust 功能引入的详情,请参考 “身份管理中的跨域 Kerberos 信任功能”一节。
警告
如果您从 Red Hat Enterprise Linux 6.3 升级到 Red Hat Enterprise Linux 6.4,且您有 Samba 使用,请确保卸载 samba4 软件包以避免在升级过程中出现冲突。
由于 Cross Realm Kerberos Trust 功能被视为技术预览,所选 samba4 组件被视为技术预览。有关 Samba 软件包被视为技术预览的详情,请参考 表 5.1 “Samba4 软件包支持 ”。
| 软件包名称 | 6.4 中的新软件包? | 支持状态 |
|---|---|---|
| samba4-libs | 否 | 技术预览,除了 OpenChange 所需的功能外 |
| samba4-pidl | 否 | 技术预览,除了 OpenChange 所需的功能外 |
| samba4 | 否 | 技术预览 |
| samba4-client | 是 | 技术预览 |
| samba4-common | 是 | 技术预览 |
| samba4-python | 是 | 技术预览 |
| samba4-winbind | 是 | 技术预览 |
| samba4-dc | 是 | 技术预览 |
| samba4-dc-libs | 是 | 技术预览 |
| samba4-swat | 是 | 技术预览 |
| samba4-test | 是 | 技术预览 |
| samba4-winbind-clients | 是 | 技术预览 |
| samba4-winbind-krb5-locator | 是 | 技术预览 |
身份管理中的跨域 Kerberos 信任功能
身份管理提供的 Cross Realm Kerberos Trust 功能作为技术预览提供。此功能允许在身份管理和 Active Directory 域之间创建信任关系。这意味着 AD 域中的用户可使用其 AD 凭证访问身份管理域中的资源和服务。不需要在身份管理和 AD 域控制器之间同步数据;AD 用户始终针对 AD 域控制器进行身份验证,并且查找有关用户的信息,而无需同步。
此功能由可选的 ipa-server-trust-ad 软件包提供。此软件包取决于 samba4 中仅提供的功能。因为 samba4 github 软件包与对应的 samba github 软件包冲突,所以必须在安装 ipa-server-trust-ad 之前删除所有 samba github 软件包。
安装 ipa-server-trust-ad 软件包时,必须在所有身份管理服务器和副本中运行 ipa-adtrust-install 命令,以便身份管理处理信任。完成此操作后,可以使用 ipa trust-add 或 WebUI 在命令行中建立信任。如需更多信息,请参阅 上 https://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ 身份管理指南中的 与 Active Directory 集成 一节。
389 目录服务器的 POSIX 架构支持
Windows Active Directory (AD)支持用户和组条目的 POSIX 模式(RFC 2307 和 2307bis)。在很多情况下,AD 被用作用户和组数据的权威来源,包括 POSIX 属性。使用 Red Hat Enterprise Linux 6.4 时,目录服务器 Windows Sync 不再忽略这些属性。用户现在可以在 AD 和 389 Directory Server 间将 POSIX 属性与 Windows Sync 同步。
注意
在向 Directory 服务器添加新的用户和组条目时,POSIX 属性不会同步到 AD。向 AD 添加新用户和组条目将同步到 Directory 服务器,修改属性将以两种方式同步。
