第 5 章 认证和互操作性
以前不可能集中管理主机和用户 SSH 公钥 。红帽企业版 Linux 6.3 包含一项技术预览,即为身份管理服务器管理 SSH 公钥, 自动将身份管理客户端中的 OpenSSH 配置为使用保存在身份管理服务器中的公钥。现在可以集中在身份管理服务器中进行 SSH 主机和用户身份管理。
红帽企业版 Linux 6.3 引进了控制远程系统中用户 SELinux 上下文的功能。可定义 SELinux 用户映射规则,还可自选是否将其与 HBAC 规则关联。这些映射根据其登录的主机及所在组定义用户接受的上下文。当用户登录到根据身份管理后端使用 SSSD 的远程主机时,会自动根据为该用户定义的映射规则设定用户 SELinux 上下文。有关详情请参考 http://freeipa.org/page/SELinux_user_mapping。这个功能被视为技术预览。
现在可将 SSH 设定为要求使用多个认证方法(以前可允许使用多种方法认证,但只需要一种方法即可成功登录);例如:登录到启用了 SSH 的机器要求输入密码短语和公钥。您可在 /etc/ssh/sshd_config 文件中配置 RequiredAuthentications1 和 RequiredAuthentications2 选项,指定成功登录所需认证。例如:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config/etc/ssh/sshd_config 选项详情请参考 sshd_config man page。
在红帽企业版 Linux 6.3 中,SSSD 包括一项新的技术预览功能:支持缓存自动挂载映射。这个功能为执行 autofs 的环境提供如下优点:
- 缓存的自动挂载映射可让客户端机器更轻松地执行挂载操作,即时在 LDAP 服务器不可连接时,只要还能连接到 NFS 服务器就可执行自动挂载。
- 当将
autofs守护进程配置为通过 SSSD 查找自动挂载映射时,只需要配置一个文件:/etc/sssd/sssd.conf。以前还必须配置/etc/sysconfig/autofs文件方可获得 autofs 数据。 - 缓存自动挂载映射的结果是在客户端提供更快的操作,同时降低 LDAP 服务器中的流量。
SSSD 已更改 /etc/sssd/sssd.conf 文件中 debug_level 选项的行为。以前可在 [sssd] 配置部分中设置 debug_level 选项,结果是这个设置成为其他配置部分的默认设置,除非明确说明覆盖该设置。
debug_level 选项,而不是从 [sssd] 部分获取默认配置。
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py[sssd] 部分指定 debug_level 选项。如果指定了该选项,则在没有指定 debug_level 的 sssd.conf 文件每个部分添加同样的级别。如果在另一部分中已明确存在 debug_level 选项,则不要进行任何修改。
在 SSSD 配置中添加了新的 ldap_chpass_update_last_change 选项。如果启用该选项,则 SSSD 会尝试将 shadowLastChange LDAP 属性改为当前时间。请注意:这只在使用 LDAP 密码策略(通常用来管理 LDAP 服务器)的情况下才有效,即使用 LDAP 扩展的操作更改密码。还请注意更改密码的用户必须对该属性有写入权限。
