第 1 章 身份验证
目录服务器支持可配置的规范化 DN 缓存
这个更新为插件(如
memberOf 和 operation)提供了更好的性能,用于更新使用多个 DN 语法属性的条目。新实施可配置的规范化 DN 缓存使服务器的 DN 处理更高效。
在使用非密码身份验证时,SSSD 会显示密码过期警告
在以前的版本中,SSSD 只能在身份验证阶段验证密码的有效性。当使用非密码验证方法(如在 SSH 登录过程中),在身份验证阶段不会调用 SSSD,因此不执行密码有效期检查。在这个版本中,检查会从身份验证阶段移到帐户阶段。因此,即使身份验证过程中没有使用密码,SSSD 也会发出密码过期警告。如需更多信息,请参阅部署指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html
SSSD 支持使用用户主体名称登录
除了用户名外,SSSD 现在可以使用 User Principal Name (UPN)属性来识别用户和用户登录,这是 Active Directory 用户可用的功能。有了这个增强,可以以具有用户名和域或 UPN 属性的 AD 用户身份登录。
SSSD 支持缓存条目的后台刷新
SSSD 允许在后台更新缓存的条目。在此次更新之前,当缓存条目的有效性已过期时,SSSD 会从远程服务器获取它们并将其存储在数据库中,这可能会非常耗时。在这个版本中,条目会立即返回,因为后端会始终保持更新。请注意,这会导致服务器上的负载较高,因为 SSSD 会定期下载条目,而不是仅在请求时下载。
sudo 命令支持 zlib 压缩 I/O 日志
sudo 命令现在使用
zlib 支持构建,这使得 sudo 能够生成和处理压缩的 I/O 日志。
新软件包: openscap-scanner
现在,提供了一个新软件包 openscap-scanner,以便管理员能够安装和使用 OpenSCAP 扫描程序(oscap),而无需安装之前包含扫描程序工具的 openscap-utils 软件包的所有依赖项。OpenSCAP 扫描程序的独立打包减少了与安装不必要的依赖项相关的潜在安全风险。openscap-utils 软件包仍然可用,包含其他各种工具。建议仅需要 oscap 工具的用户删除 openscap-utils 软件包并安装 openscap-scanner 软件包。
新软件包: 易于 SCAP 评估的 scap-workbench
SCAP Workbench 可以轻松地使用 SCAP 内容定制和单机器评估。它通过 scap-security-guide 内容的集成降低了条目障碍。在此次更新之前,Red Hat Enterprise Linux 6 包括 scap-security-guide 和 openscap 软件包,但不包括 scap-workbench 软件包。如果没有 SCAP Workbench,则需要使用命令行来测试 SCAP 评估,这对于某些用户容易出错且是主要的障碍。SCAP Workbench 允许用户轻松自定义 SCAP 内容并在单一计算机上测试评估。
如果 NSS 支持,则默认启用 TLS 1.0 或更新版本
由于 CVE-2014-3566,默认情况下会禁用 SSLv3 和旧的协议版本。目录服务器现在以 NSS 库提供的范围方式接受更安全的 SSL 协议,如 TLSv1.1 和 TLSv1.2。您还可以定义与目录服务器实例通信时控制台要使用的 SSL 范围。
OpenLDAP 包括 pwdChecker 库
在这个版本中,通过包含 OpenLDAP
pwdChecker 库引入了 OpenLDAP 的 Check Password 扩展。Red Hat Enterprise Linux 6 中 PCI 合规性需要扩展。
SSSD 支持覆盖自动发现的 AD 站点
默认情况下,会自动发现客户端连接的 Active Directory (AD) DNS 站点。但是,默认的自动搜索可能无法在特定设置中发现最合适的 AD 站点。在这种情况下,您可以使用
/etc/sssd/sssd.conf 文件的 [domain/NAME] 部分中的 ad_site 参数手动定义 DNS 站点。有关 ad_site 的更多信息,请参阅身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
certmonger 支持 SCEP
certmonger 服务已更新,以支持简单证书注册协议(SCEP)。要从服务器获取证书,您现在可以通过 SCEP 提供注册。
Directory Server 删除操作的性能改进
在以前的版本中,如果有大量静态组,在组删除操作期间执行递归嵌套组查找可能需要很长时间才能完成。添加了新的
memberOfSkipNested 配置属性,允许跳过嵌套组检查,从而显著提高删除操作的性能。
SSSD 支持用户从 WinSync 迁移到 Cross-Realm Trust
在 Red Hat Enterprise Linux 6.7 中实施了一个新的用户配置的
ID 视图 机制。ID 视图支持将身份管理用户从 Active Directory 使用的基于 WinSync 同步的架构迁移到基于 Cross-Realm Trusts 的基础架构。有关 ID 视图和迁移过程的详情,请查看身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD 支持 localauth Kerberos 插件
在这个版本中,为本地授权添加了
localauth Kerberos 插件。该插件可确保 Kerberos 主体自动映射到本地 SSSD 用户名。使用这个插件,不再需要在 krb5.conf 文件中使用 auth_to_local 参数。有关插件的更多信息,请参阅身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD 支持在没有系统登录权限的情况下访问指定的应用程序
domains= 选项已添加到 pam_sss 模块中,它将覆盖 /etc/sssd/sssd.conf 文件中的 domains= 选项。这个更新还添加了 pam_trusted_users 选项,该选项允许用户添加 SSSD 守护进程信任的数字 UID 或用户名列表。此外,即使已添加不受信任的用户,pam_public_domains 选项以及可以访问的域列表。这些新选项启用了系统配置,允许常规用户在没有系统本身登录权限的情况下访问指定的应用程序。如需更多信息,请参阅身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD 支持跨 AD 和 IdM 的一致性用户环境
sssd 服务可以读取 Active Directory (AD)服务器上定义的 POSIX 属性,该属性与身份管理(IdM)是信任关系。在这个版本中,管理员可以将自定义用户 shell 属性从 AD 服务器传输到 IdM 客户端。然后,SSSD 在 IdM 客户端上显示自定义属性。此更新支持在整个企业中保持一致的环境。请注意,客户端上的 homedir 属性目前显示 AD 服务器的 subdomain_homedir 值。如需更多信息,请参阅身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD 支持在登录前显示 AD 可信用户的组
Active Directory (AD)用户来自与身份管理(IdM)信任关系中的 AD 林域,现在可以在登录前解决组成员资格。现在,
id 工具会显示这些用户的组,而无需用户登录。
getcert 支持在没有 certmonger 的情况下请求证书
在身份管理(IdM)客户端 kickstart 注册过程中使用
getcert 实用程序请求证书不再需要 certmonger 服务正在运行。在以前的版本中,尝试执行此操作会失败,因为 certmonger 没有运行。在这个版本中,getcert 可以在上述情况下成功请求证书,在 D-Bus 守护进程没有运行的情况下。请注意,certmonger 才会在重新引导后以这种方法监控获取的证书。
SSSD 支持用户标识符的保留大小写
SSSD 现在支持
true、false,并为 case_sensitive 选项 保留 值。当启用 preserve 值时,无论情况如何,输入会匹配,但输出始终与服务器上的相同;SSSD 会保留 UID 字段的大小写。
SSSD 支持拒绝锁定的帐户 SSH 登录访问
在以前的版本中,当 SSSD 使用 OpenLDAP 作为其身份验证数据库时,用户也可以使用 SSH 密钥成功验证系统,即使用户帐户被锁。
ldap_access_order 参数现在接受 ppolicy 值,在上述情况下可能会拒绝对用户的 SSH 访问。有关使用 ppolicy 的更多信息,请参阅 sssd-ldap (5)手册页中的 ldap_access_order 描述。
SSSD 支持在 AD 上使用 GPO
SSSD 现在可以使用存储在 Active Directory (AD)服务器上的组策略对象(GPO)进行访问控制。此功能增强模拟 Windows 客户端的功能,现在可以使用一组访问控制规则来处理 Windows 和 Unix 机器。实际上,Windows 管理员现在可以使用 GPO 来控制对 Linux 客户端的访问。如需更多信息,请参阅身份管理指南: https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
