Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 3 章 认证和互操作性

SSSD 智能卡支持

SSSD 现在支持智能卡进行本地身份验证。使用此功能,用户可以使用基于文本的或图形控制台以及 sudo 服务等本地服务登录到系统。用户将智能卡放在读取器中,并在登录提示符下提供用户名和智能卡 PIN。如果验证了智能卡上的证书,则用户已被成功验证。
请注意,SSSD 目前不允许用户使用智能卡获取 Kerberos 票据。要获得 Kerberos 票据,仍然需要使用 kinit 工具进行身份验证。
要在 Red Hat Enterprise Linux 6 中启用智能卡支持,您必须允许 SSSD 提示输入密码、一次性密码(OTP)或智能卡 PIN,方法是修改 / etc/pam.d/password- auth/ etc/pam.d/system-auth PAM 配置文件的 auth 行。详情请查看 Identity Management Guide: http://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards(BZ""1270027)

SSSD 中的缓存身份验证

现在,即使在线模式下,SSSD 中也会在 SSSD 中对缓存进行身份验证。重复对网络服务器进行身份验证可能会导致过量应用程序延迟,这可能会使登录过程过长。(BZ#1237142)

IdM 服务器兼容性插件树的 ou=sudoers,$DC 部分现在可以禁用以提高性能

身份管理(IdM)客户端现在可以在 IdM 服务器的 LDAP 树中的 cn=sudorules,cn= sudo,$DC 部分查找 sudo 规则,而不是 slapi-nis 目录服务器插件生成的 ou=sudoers,$DC 兼容性树。
在不需要其他操作的兼容性树的环境中,如传统客户端支持,用户现在可以禁用树的 ou=sudoers,$DC 部分。这可提高性能,因为使用 slapi-nis 生成兼容性树是资源密集型,特别是在有大量身份验证操作的环境中。(BZ#1244957)

SSSD 在单个客户端上启用 UID 和 GID 映射

现在,可以使用 sss_override 程序提供的 SSSD 通过客户端配置将用户映射到特定 Red Hat Enterprise Linux 客户端上的不同 UID 和 GID。此客户端侧覆盖可能会解决 UID 和 GID 重复导致的问题,或者简化之前使用不同的 ID 映射的传统系统过渡。
请注意,覆盖存储在 SSSD 缓存中;因此删除缓存也会移除覆盖。有关此功能的详情,请查看 sss_override (8)手册页。(BZ#1269422)

initgroups 操作的缓存

SSSD 快速内存缓存现在支持 initgroups 操作,它提高了 initgroups 处理的速度,并提高了一些应用程序的性能,如 GlusterFS 和 slapi-nis。(BZ#1269421)

新软件包:ad cli

在这个版本中,将 adcli 软件包添加到 Red Hat Enterprise Linux 6 中。adcli 工具允许用户从 Red Hat Enterprise Linux 6 客户端管理活动目录(AD)中的主机、用户和组对象。实用程序的主要用途是将主机加入 AD 域并更新主机的凭证。
adcli 工具是站点感知的,不需要额外的配置来加入 AD 域。在运行 SSSD 服务的客户端中,adcli 可以定期更新主机凭证。(BZ#1279725)

SSSD 现在可以自动更新加入 AD 的 Linux 客户端的主机凭证

某些 Windows 工具可在不长时间更新密码后从活动目录(AD)中删除主机。这是因为这些工具认为此类客户端不活跃。
使用此功能,加入 AD 的 Linux 客户端的主机密码会定期更新,这表示客户端仍然被主动使用。因此,加入到 AD 的 Red Hat Enterprise Linux 客户端不会在上述情况下被删除。(BZ#1290761)

SSSD 现在可以在带有大型 RID 的环境中自动调整 AD 客户端的 ID 范围

SSSD 服务中包含的自动 ID 映射机制现在可以合并 ID 范围域。在以前的版本中,如果 Active Directory (AD)域的相对 ID (RID)大于 200,000,这是 SSSD 分配的 ID 范围的默认大小,则管理员需要手动调整 SSSD 分配的 ID 范围以与 RID 对应。
在这个版本中,对于启用了 ID 映射的 AD 客户端,SSSD 会在上述情况下自动调整 ID 范围。因此,不再需要管理员手动调整 ID 范围,默认的 SSSD ID 映射机制可以在大型 AD 环境中正常工作。(BZ#1268902)

SSSD 现在支持来自不同域控制器的 GPO

系统安全服务守护进程(SSSD)服务已更新,以支持来自不同域控制器的组策略对象(GPO)。(BZ#1221365)

对 SSLv2 的支持已被禁用

SSLv2 不安全,不应在当前部署中使用,因此在没有覆盖的情况下被禁用。所有现代浏览器和框架都无法在默认配置中协商 SSLv2 连接,无法将很多配置为执行 SSLv2 协商。最新的 OpenSSL 漏洞(CVE-2015-3197)显示此代码是可靠的。另外,上游已删除了对 SSLv2 (MZBZrhacm28555)的支持。(BZ#1304812)

OpenLDAP 现在支持 TLSv1.2

OpenLDAP 的 TLS 层已被改进,以支持密码字符串值 TLSv1.2 以及来自 TLSv1.2 套件的新密码。另外,添加了新的密码字符串 AESGCMSHA256SHA384。在这个版本中,密码字符串 DEFAULT 选择网络安全服务(NSS)默认值的子集,以便使用当前的安全开发。请注意,密码字符串 DEFAULT 目前排除 AESGCM 密码,从而不会影响 Security Strength Factor (SSF)功能。(BZ#1300701)

NSS 现在支持 ECDSA 证书

默认情况下,NSS 库没有启用使用 Elliptic Curve Cryptography (ECC)的 TLS 密码套件。没有更改 NSS 默认配置的应用程序无法连接到强制支持 ECC 密钥交换的服务器,如 ECDHE。特别是,连接到使用带有 ECDSA 密钥的证书的服务器会失败。
在这个版本中,更改了默认配置,以启用默认允许使用 ECC 的 TLS 密码套件。因此,使用 NSS 默认值通过 TLS 进行通信的应用程序现在可以连接到使用带有 ECDSA 密钥的证书的服务器。(BZ#1059682)

组名称的新 SSSD 默认值

系统安全服务守护进程(SSSD)现在使用与 Windows 和第三方解决方案兼容的新默认组名称。这会影响在 /etc/sssd/sssd.conf 文件中将 id_provider 配置选项设置为 ad 的安装。
如果环境需要组 name 属性的值与新默认值 sAMAccountName 不同,则需要手动配置更改。例如,当为组提供与用户相同的名称时,可能需要这样做。要恢复到旧的行为,将 cn 设置为属性值:
1.在 /etc/sssd/sssd.conf 文件中设置 ldap_group_name = cn
2.运行以下命令来清除 SSSD 缓存: 
# service sssd stop
# find /var/lib/sss/ ! -type d | xargs rm -f
# service sssd start
Copy to Clipboard Toggle word wrap
(BZ#1342458)
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat