17.9. SSSD
17.9.1. 现在默认强制使用 AD GPO
在 RHEL 8 中,ad_gpo_access_control
选项的默认设置是 enforcing
,它确保评估并强制执行基于活动目录组策略对象(GPO)的访问控制规则。
相反,RHEL 7 中此选项的默认值是 permissive
,它评估但不强制执行基于 GPO 的访问控制规则。使用 permissive
模式时,每次用户被 GPO 拒绝访问都会记录系统日志消息,但是仍允许这些用户登录。
红帽建议确保在从 RHEL 7 升级到 RHEL 8 前,在 Active Directory 中正确配置 GPO。
不影响默认 RHEL 7 主机中授权的错误配置的 GPO 可能会影响默认的 RHEL 8 主机。
有关 GPO 的更多信息,请参阅 在 RHEL 中应用组策略对象访问控制 和 sssd-ad
手册页中的 ad_gpo_access_control
条目。
17.9.2. authselect
替代 authconfig
在 RHEL 8 中,authselect
工具替换了 authconfig
工具。authselect
提供了一种更安全的 PAM 堆栈管理方法,使 PAM 配置更改对系统管理员来说更加简单。authselect
可用于配置身份验证方法,如密码、证书、智能卡和指纹。authselect
不配置加入远程域所需的服务。此任务由特殊工具执行,比如 realmd
或 ipa-client-install
。
17.9.3. KCM 替代另外 KEYRING 来作为默认的凭证缓存存储
在 RHEL 8 中,默认凭证缓存存储是 Kerberos 凭证管理器(KCM),它由 sssd-kcm
守护进程支持。KCM 克服了之前使用的 KEYRING 的限制,例如难以在容器化环境中使用,因为它没有命名空间,不能查看和管理配额。
有了这个更新,RHEL 8 包含一个更适合容器化环境的凭证缓存,并为在以后的版本中构建更多功能提供了基础。
17.9.4. sssctl
为 IdM 域打印一个 HBAC 规则报告
有了这个更新,系统安全服务守护进程(SSSD)的 sssctl
工具可以打印身份管理(IdM)域的访问控制报告。出于监管方面的原因,此功能满足了某些环境查看可访问特定客户端计算机的用户和组列表的需求。在 IdM 客户端上运行 sssctl access-report
domain_name
会打印 IdM 域中应用到客户端机器的的基于主机的访问控制(HBAC)规则的解析子集。
请注意,除了 IdM 外,其它供应商都不支持这个特性。
17.9.5. 从 RHEL 8.8 开始,SSSD 不再默认缓存本地用户,也不会通过 nss_sss
模块给它们提供服务
在 RHEL 8.8 及更高版本中,系统安全服务守护进程(SSSD) files
供应商(其为 /etc/passwd
和 /etc/group
文件中的用户和组提供服务)默认被禁用。/etc/sssd/sssd.conf
配置文件中的 enable_files_domain
设置的默认值为 false
。
对于 RHEL 8.7 及更早的版本,SSSD files
供应商默认被启用。sssd.conf
配置文件中 enable_files_domain
设置的默认值为 true
,sss
nsswitch 模块在 /etc/nsswitch.conf
文件中的 files
之前。
17.9.6. SSSD 现在允许您选择多个智能卡验证设备中的一个
默认情况下,系统安全服务守护进程(SSSD)会尝试自动为智能卡身份验证检测设备。如果连接了多个设备,SSSD 会选择它检测到的第一个设备。因此,您无法选择特定的设备,这个设备有时会导致失败。
有了这个更新,您可以为 sssd.conf
配置文件的 [pam]
部分配置一个新的 p11_uri
选项。此选项允许您定义哪个设备用于智能卡身份验证。
例如,要选择一个由 OpenSC PKCS#11 模块检测到的 slot ID 为 2
的读卡器,请添加:
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
到 sssd.conf
的 [pam]
部分:
详情请查看 man sssd.conf
页面。