第 5 章 认证和互操作性
SSSD 全面支持的功能
红帽企业版 Linux 6.3 中引进的很多功能红帽企业版 Linux 6.4 现在都完全支持。特别是:
- 支持 SSH 密钥集中管理,
- SELinux 用户映射,
- 以及支持 automount 映射缓存。
新 SSSD 缓存存储类型
Kerberos 版本 1.10 添加了新的缓存存储类型
DIR:
,它允许 Kerberos 同时为多个密钥发布执行(KDC)维护 Ticket Granting Tickets(TGTs),并在可识别 Kerveros 的资源间协调时自动进行选择。在红帽企业版 Linux 6.4 中,已将 SSSD 改进为可让您为使用 SSSD 登录的用户选择 DIR:
缓存。这个功能是作为技术预览引进。
在基于 AD 的可信域中添加 external
组
在红帽企业版 Linux 6.4 中,
ipa group-add-member
命令可让您在身份管理中标记为 external
的组中添加基于 Active Directory 的可信域成员。可根据其名称,使用 domain- 或者 基于 UPN 的语法指定这些成员,例如:AD\UserName
或者 AD\GroupName
或者 User@AD.Domain
。当以这种格式指定时,会根据基于 Adctive Directory 的可信域的全局分类节写成员以便获得其安全身份(SID)值。
另外,也可以直接指定 SID 值。在这种情况下,
ipa group-add-member
命令将确认 SID 值的域部分是可信 Active Directory 域之一。在该域中将不会尝试确认 SID 的有效性。
推荐使用用户或者组名称语法指定外部成员而不要直接提供其 SID 值。
自动更新身份管理子系统证书
新证书授权的默认有效期为 10 年。CA 会为其子系统(OCSP、审核日志及其他)发布大量证书。子系统证书一般有效期为 2 年。如果该证书过期,CA 就无法启动,或者无法正常工作。因此,在红帽企业版 Linux 6.4 中,身份管理服务器可以自动更新其子系统证书。您可以使用 certmonger 跟踪子系统证书,该程序可在证书过期前尝试更新这些证书。
在身份管理服务器中注册的客户端中自动进行 OpenLDAP 配置
在红帽企业版 Linux 6.4 中,使用默认的 LDAP URI、基础 DN 和身份管理客户端安装过程中的 TLS 证书自动配置 OpenLDAP。这样可在身份管理目录服务器中执行 LDAP 搜索时改进用户体验。
PKCS#12 支持 python-nss
已将为网络安全服务(NSS)和 Netscape Portable Runtiem(NSPR)提供 Python 捆绑的 python-nss 软件包更新至添加 PKCS #12 支持。
DNS 的全面持续搜索
红帽企业版 Linux 6.4 中的 LDAP 包括对区域及其资源记录的持续搜索。持续搜索可让 bind-dyndb-ldap 插件立即通知 LDAP 数据库中的所有更改。它还可降低由于重复提取造成的网络带宽使用。
新的 CLEANALLRUV 操作
可使用
CLEANRUV
操作删除数据库副本更新向量(Replica Update Vector,RUV)中的过期元素,该操作只在单一供应商或主机中删除它们。红帽企业版 Linux 6.4 添加了新的 CLEANRUV
操作,该操作可从所有副本中删除过期 RUV 数据,同时只需要在单一供应商或者主机中运行。
更新 samba4 库
已将 samba4 库(由 samba4-libs 软件包提供)升级至最新 upstream 版本以改进其与 Active Directory(AD)域的互动性。SSSD 现在使用
libndr-krb5pac
库解析 AD 密钥发布中心(KDC)发出的特权属性证书(PAC)。另外对本地安全授权(LSA)和访问登录服务也进行了各种改进,允许来自 Windows 系统的可信性验证。有关依赖 samba4 软件包的跨区域 Kerberos 可信功能的介绍请参考 表 5.1 “Samba4 软件包支持”。
警告
如果您是从红帽企业版 Linux 6.3 升级到红帽企业版 Linux 6.4,且已使用 Samba,请确定卸载 samba4 软件包以避免在升级过程中出现冲突。
由于跨区域 Kerberos 可信功能是技术预览,因此所选 samba4 组件也被视为技术预览。有关将哪些 Samba 软件包作为技术预览的详情请参考 表 5.1 “Samba4 软件包支持”。
软件包名称 | 是 6.4 中的新软件包吗? | 支持状态 |
---|---|---|
samba4-libs | 否 | 技术预览,OpenChange 要求的功能除外 |
samba4-pidl | 否 | 技术预览,OpenChange 要求的功能除外 |
samba4 | 否 | 技术预览 |
samba4-client | 是 | 技术预览 |
samba4-common | 是 | 技术预览 |
samba4-python | 是 | 技术预览 |
samba4-winbind | 是 | 技术预览 |
samba4-dc | 是 | 技术预览 |
samba4-dc-libs | 是 | 技术预览 |
samba4-swat | 是 | 技术预览 |
samba4-test | 是 | 技术预览 |
samba4-winbind-clients | 是 | 技术预览 |
samba4-winbind-krb5-locator | 是 | 技术预览 |
身份管理中的跨区域 Kerberos 可信功能
身份管理中提供的跨区域 Kerberos 可信功能是一项技术预览。这个功能允许在身份管理和 Active Directory 域之间建立可信关系。这就意味着来自 AD 域的用户可以使用其 AD 证书访问身份管理域中的资源和服务。不需要同步身份管理和 AD 域控制器之间的任何数据。AD 用户总是可以根据该 AD 域控制器进行验证,同时可在不同步的情况下查询用户信息。
这个功能由自选 ipa-server-trust-ad 软件包提供。这个软件包依赖只有 samba4 才能提供的功能。因为 samba4-* 软件包与对映的 samba-* 软件包冲突,所以在安装 ipa-server-trust-ad 前必须删除所有 samba-* 软件包。
安装 ipa-server-trust-ad 软件包后,必须在所有身份管理服务器和复制品中运行
ipa-adtrust-install
命令,并启用身份管理处理可信关系。完成此操作后,可使用 ipa trust-add
在命令行中建立可信关系,或者使用 WebUI 建立可信管理。有关下个详情请参考《身份管理指南》中《通过跨区域 Kerberos 可信域与 Active Directory 整合》一节,地址为 https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/。
389 目录服务器的 Posix 方案支持
Windows Active Directory(AD)在用户和组条目中支持 POSIX 方案(RFC 2307 和 2307bis)。在很多情况下 AD 是用作用户和组数据的认证资源,包括 POSIX 属性。在红帽企业版 Linux 6.4 中,目录服务器 Windows 同步不再忽略这些属性。用户现在可以在 AD 和 389 目录服务器之间使用 Windows Sync 同步 POSIX 属性。
注意
当在目录服务器中添加用户和组条目时,POSIX 属性没有与 AD 同步。在 AD 中添加新用户和组条目将与目录服务器同步,同时修改的属性会在两者间同步。