А вот и вторая часть про нововведения касательно безопасности в Fedora 18 от Dan Walsh

FreeIPA имеет пару новых возможностей, появившихся в Fedora 18. Поддержка создания меток SELinux Confined User будет описана в следующем сообщении… А сейчас я расскажу об улучшении интеграции в окружение Windows.

Меня печалит осознание того, что до сих пор где-то существуют люди, использующие Windows!

Мой дом был свободен от Windows в течение ряда лет. Это было намного более мрачно, но гораздо более безопасно.

Я также слышал, что эти Windows-окружения используют Active Directory.

Итак, Fedora 18 сделает эти окружения немного более безопасными.

FreeIPA и Active Directory могут быть настроены на взаимные доверительные отношения.

В Fedora 18 возможно создать доверительные отношения между FreeIPA и доменом Active Directory. Это означает, что пользователи, определенные в Active Directory, могут получить доступ к ресурсам, определенным во FreeIPA. В будущем релизе, пользователи, определенные во FreeIPA, смогут получить доступ к ресурсам, определенным в Active Directory. Вы можете управлять всеми учетными записями пользователей из единого места. Если вы используете для управления пользователями Active Directory, вы можете теперь использовать те же самые учетные записи пользователей на машинах с Linux.

FreeIPA в Fedora 17 использовал winsync для предоставления пользователям из домена Active Directory доступа к ресурсам в домене FreeIPA. Для того, чтобы это сработало, winsync реплицировал данные о пользователе и пароле с сервера Active Directory на сервере FreeIPA и пытался поддерживать их в синхронизированном состоянии. Становясь причиной потенциальной race condition.

В Fedora 18 SSSD, System Security Services Daemon, был доработан для работы с AD. SSSD понимает некоторые нативные для AD средства управления и возможности, чего не было в предыдущих версиях Fedora.

Вы можете настроить все это, вообще не используя FreeIPA!

В дополнение, SSSD может работать в окружении, где он подключен к FreeIPA, который, в свою очередь, находится в доверительных отношениях с AD. В этом случае, SSSD не только распознает пользователей, определенных во FreeIPA, но также распознает пользователей, пришедших из доверенных доменов AD. SSSD может читать данные каталоги пользователей и групп напрямую с сервера Active Directory.

Кроме того, если вы используете FreeIPA, вы можете настроить Kerberos cross realm trust. Это позволяет использовать Single-Sign-On между Active Directory и доменом FreeIPA.

  • Пользователь из Домена Active Directory может получить доступ к “керберизованным” ресурсам из домена FreeIPA без запроса пароля.
  • Если вы выбрали настройку пользователей в домене FreeIPA, они будут иметь доступ к ресурсам из домена Active Directory. Нет необходимости в установке POSIX аттрибутов в Домене Active Directory.
  • Возможено использование Single sign-on для всех “керберизованных” служб.

Мы возможно никогда не получим полностью “единой точки входа”, когда у меня будет только один пароль, который и запрашивается, но, в любом случае, это шаг в правильном направлении.