第 5 章 认证和互操作性
支持 SSH 密钥中央管理
在以前的版本中,无法集中管理主机和用户 SSH 公钥。Red Hat Enterprise Linux 6.3 包括身份管理服务器的 SSH 公钥管理作为技术预览。身份管理客户端上的 OpenSSH 会自动配置为使用存储在身份管理服务器上的公钥。SSH 主机和用户身份现在可以在身份管理中集中管理。
SELinux 用户映射
Red Hat Enterprise Linux 6.3 引进了控制远程系统上用户的 SELinux 上下文的功能。SELinux 用户映射规则可以定义,并可以选择与 HBAC 规则关联。这些映射定义了用户收到的上下文,具体取决于他们要登录的主机以及组成员资格。当用户登录到配置为将 SSSD 与身份管理后端搭配使用的远程主机时,根据为该用户定义的映射规则自动设置用户的 SELinux 上下文。如需更多信息,请参阅 http://freeipa.org/page/SELinux_user_mapping。这个功能被视为技术预览。
sshd 的多个所需身份验证方法
SSH 现在可以被设置为需要多种方法进行多种验证(因为之前,SSH 允许多次验证成功登录);例如,登录启用了 SSH 的机器需要输入密码短语和公钥。RequiredAuthentications1 和 RequiredAuthentications2 选项可以在 /etc/ssh/sshd_config 文件中配置,以指定成功登录所需的身份验证。例如:
~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config/etc/ssh/sshd_config 选项的更多信息,请参阅 sshd_config 手册页。
SSSD 支持自动挂载映射缓存
在 Red Hat Enterprise Linux 6.3 中,SSSD 包括一个新的技术预览功能:对缓存自动挂载映射的支持。此功能为使用 autofs 的环境提供了几个优点:
- 缓存自动挂载映射使客户端计算机可以轻松执行挂载操作,即使 LDAP 服务器无法访问,但 NFS 服务器仍可访问。
- 当
autofs守护进程配置为通过 SSSD 查找自动挂载映射时,必须仅配置单个文件:/etc/sssd/sssd.conf。在以前的版本中,必须配置/etc/sysconfig/autofs文件来获取 autofs 数据。 - 缓存自动挂载映射会导致客户端的性能提高,并降低 LDAP 服务器上的流量。
SSSD debug_level 行为更改
SSSD 已更改 /etc/sssd/sssd.conf 文件中的 debug_level 选项的行为。在以前的版本中,可以在 [sssd] 配置部分中设置 debug_level 选项,结果将是其他配置部分的默认设置,除非它们明确覆盖了它。
debug_level 选项,而不是从 [sssd] 部分中获取默认值。
~]# python /usr/lib/python2.6/site-packages/sssd_update_debug_levels.py[sssd] 部分中指定了 debug_level 选项。如果是这样,它会为每个未指定 debug_level 的 sssd.conf 文件中的其他部分添加相同的 level 值。如果另一个部分中明确存在 debug_level 选项,则不会改变。
新的 ldap_chpass_update_last_change 选项
在 SSSD 配置中添加了新的选项 ldap_chpass_update_last_change。如果启用了这个选项,SSSD 会尝试将 shadowLastChange LDAP 属性更改为当前时间。请注意,这仅当使用 LDAP 密码策略时(通常由 LDAP 服务器处理),即 LDAP 扩展操作用于更改密码。另请注意,属性必须可由更改密码的用户写入。
