第 19 章 认证和互操作性

Active Directory (AD)供应商是用于连接 AD 服务器的后端。在 Red Hat Enterprise Linux 7.2 中，使用 AD sudo 供应商和 LDAP 提供程序作为技术预览提供。要启用 AD sudo 提供程序，请在 sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。

带有集成 DNS 的身份管理服务器现在支持 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全性的 DNS 扩展。托管在身份管理服务器上的 DNS 区域可使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档：

DNSSEC 实践, 版本 2: http://tools.ietf.org/html/rfc6781#section-2

安全域名系统(DNS)部署指南： http://dx.doi.org/10.6028/NIST.SP.800-81-2

DNSSEC Key Rollover timinging Considerations: http://tools.ietf.org/html/rfc7583

请注意，带有集成 DNS 的身份管理服务器使用 DNSSEC 来验证从其他 DNS 服务器获取的 DNS 回答。这会影响未根据 Red Hat Enterprise Linux 网络指南中描述的推荐命名实践配置的 DNS 区域可用性 ：https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。

添加了一个新的 Nunc Stans 事件框架来处理多个同时连接作为技术预览。框架支持几千个活跃连接，且无性能下降。它默认是禁用的。

在这个版本中，为身份管理中的 JSON-RPC API 实施了浏览器。浏览器可用于查看 API。请注意，这个功能是实验性的，API 尚不受支持。

ipsilon 软件包为联邦单点登录(SSO)提供 Ipsilon 身份提供程序服务。Ipsilon 链接身份验证提供程序和应用程序或实用程序，以允许 SSO。它包括用于配置基于 Apache 的服务提供商的服务器和工具。

Ipsilon 服务器和工具包旨在配置基于 Apache 的身份服务提供商。服务器是一个可插拔的自包含 mod_wsgi 应用，为 Web 应用提供联邦 SSO。

本发行版本中引入了 Ipsilon 作为技术预览。我们建议不考虑在生产环境中集成这个服务。