RHEL 7特性說明(八):聯網與認證

發表於2014-07-17

Red Hat Enterprise Linux 7.0 是 Red Hat 的下一代作業系統完整套件,旨在用於關鍵任務企業級計算以及頂級企業級軟體和硬體零售商認證。

聯網

⁠網路分組

已引進網路分組技術作為鏈路聚集的捆綁備用方法。該技術旨在輕鬆管理、debug 和擴充套件。它可為使用者提供效能和靈活性提高,且應為新安裝進行評估。

⁠NetworkManager

已對 NetworkManager 進行了大量改進使其更適合在伺服器應用程式中使用。特別是NetworkManager 不再預設檢視配置檔案更改,比如那些由編輯器或者開發工具更改的配置檔案。管理員可使其意識到使用 nmcli connection reload 命令進行的外部修改。使用NetworkManager 的 D-Bus API 或者 NetworkManager 命令列工具 nmcli 進行的修改仍可立即生效。

引進 nmcli 工具是要讓使用者和指令碼可以與 NetworkManager 互動。

chrony 套件

可使用程式套件 chrony 更新系統中不適合傳統持久聯網系統時鐘,那些時鐘總是在專門伺服器分類中。應在所有經常掛起的系統中,或者間歇性斷開並重新連線到網路的系統中關注 chrony 套件。例如:移動系統和虛擬系統。

⁠動態防火牆守護程式 firewalld 套件

Red Hat Enterprise Linux 7.0 提供動態防火牆守護程式 firewalld,它可提供一個動態管理的防火牆,並支援網路“區域”以便為網路及其相關連結和介面分配可信度。它還支援 IPv4 和 IPv6 防火牆設定。它支援乙太網橋接並有獨立的執行時和持久配置選項。它還有一個可直接新增防火牆規則的服務或者應用程式介面。

⁠DNSSEC

DNSSEC 是一組域名系統安全擴充套件(DNSSEC),允許 DNS 客戶端認證和檢查來自 DNS 名稱伺服器響應的完整性以便確認其起始點,並確定在中轉過程中是否受到影響。

⁠OpenLMI

Red Hat Enterprise Linux 7.0 中附帶 OpenLMI 專案,它為管理 Linux 系統提供常用的基礎設施。它還可讓使用者配置、管理並監控硬體、作業系統及系統服務。OpenLMI 旨在簡化任務配置及產品伺服器管理。OpenLMI 旨在為 Red Hat Enterprise Linux 的多個版本提供常用管理介面。它是構建在現有工具的頂層,提供一個提取層,為系統管理員過濾了很多底層系統的複雜性。OpenLMI 由安裝在要管理的系統中的一組系統管理代理、可管理這些代理併為其提供介面 OpenLMI 控制程式以及使用 OpenLMI 控制程式呼叫系統管理代理的客戶端應用程式或者指令碼。OpenLMI 可讓使用者執行以下操作:

  • 配置、管理和監控裸機產品伺服器及虛擬機器;
  • 配置、管理和監控本地或者遠端系統;
  • 配置、管理及監控儲存和網路;
  • 使用 C/C++、Python、Java 或者命令列介面呼叫系統管理功能

請注意,OenLMI 軟體提供程式是作為技術預覽支援。該軟體功能完善,但某些操作可能會消耗大量資源。有關 OpenLMI 的詳情請參考 http://www.openlmi.org

⁠qlcnic 驅動程式中的 SR-IOV 功能

已在 qlcnic 中新增單一 Root I/O 虛擬化(SR-IOV)支援作為技術預覽。對這個功能的支援直接由 QLogic 提供,同時鼓勵使用者為 Red Hat 提供反饋意見。仍全面支援 qlcnic 驅動程式中的其他功能。

⁠FreeRADIUS 3.0.1

Red Hat Enterprise Linux 7.0 包含 FreeRADIUS 版本 3.0.1,它可提供大量新功能,其中主要有:

  • RadSec,用於使用 TCP 和 TLS 傳輸 RADIUS 資料包的協議。
  • Yubikey 支援。
  • 連線池。radiusd 伺服器為各種後端(SQL、LDAP 及其他)維護連線。連線池可在較低資源需求的情況下提供較大的吞吐量。
  • 已擴充套件伺服器配置程式語言 unlang 語法。
  • 提高了對 site-specific 和 vendor-specific 屬性的支援。
  • 提高了 debug 功能,在詳細輸出結果中突出顯示問題所在。
  • 生成 SNMP 陷阱。
  • 改進的 WIMAX 支援。
  • EAP-PWD 支援。

⁠可信的網路連線

Red Hat Enterprise Linux 7.0 引進了可信網路連線功能作為技術預覽。可信網路連線可用於現有網路訪問控制(NAC)解決方案,比如 TLS、802.1x 或者 IPSec 整合端點態勢評估,即收集端點系統資訊(比如作業系統配置設定,安裝的軟體包及其他,總稱為完整性測量)。在允許該端點訪問該網路前使用可信網路連線根據網路訪問策略確認這些測量。

認證和互操作性

⁠新的信任實施

目前在 Red Hat Enterprise Linux 5.9 客戶端以及之後的 Red Hat Enterprise Linux 6.3 客戶端中支援使用在 Active Directory 中定義的使用者 ID 或者組 ID,而不是由使用者安全識別符號生成的使用者 ID 或者組 ID。如果在 Active Directory 中定義了 POSIX 屬性,這個信任實施就很有用。

⁠已更新 slapi-nis 外掛

Red Hat Enterprise Linux 7.0 擁有更新後的目錄伺服器外掛 slapi-nis,該外掛允許 Active Directory 使用者在原有客戶端中進行認證。注:這個功能時技術預覽。

⁠IPA 的備份和恢復機制

IPA 元件的備份和恢復機制在 Red Hat Enterprise Linux 7.0 中是作為技術預覽提供。

⁠Samba 4.1.0

Red Hat Enterprise Linux 7.0 中包括升級到最新 upstream 版本的 samba 軟體包,該軟體包引進了一些 bug 修復和改進,最主要的是支援伺服器和客戶端工具中的 SMB3 協議。

另外,SMB3 傳輸可啟用對支援 SMB3 的 Windows 伺服器以及 Samba 伺服器的加密傳輸連線。同時,Samba 4.1.0 新增了對伺服器端複製操作的支援。採用支援伺服器端複製操作的客戶端,比如最新的 Windows 發行本應體驗到明顯的檔案複製操作效能提高。

警告

更新後的 samba 軟體包刪除了一些已棄用的配置選項。最主要的是伺服器角色 security = share 和 security = server。另外,已完全刪除網頁配置工具 SWAT。有關詳情請參考 Samba 4.0 和 4.1 發行註記:

https://www.samba.org/samba/history/samba-4.0.0.html

https://www.samba.org/samba/history/samba-4.1.0.html

注:更新了一些 tdb 檔案。就是說您啟動 smbd 的新版本後就會升級所有 tdb 檔案。您無法降級到原來的 Samba 版本,除非您備份那些 tdb 檔案。

有關這些變化的詳情請參考上述 Samba 4.0 和 4.1 發行註記。

⁠AD 和 LDAP sudo 提供程式的用法

AD 提供程式是一個用來連線 Active Directory 伺服器的後端程式。在 Red Hat Enterprise Linux 7.0 中,支援將 AD sudo 提供程式與 LDAP 提供持續一同使用是最為一項技術預覽提供的。要啟用 AD sudo 提供程式,請在 sssd.conf 檔案的 domain 部分新增 sudo_provider=ad 設定。

 

本系列文章來自 RHEL 7.0 的發行註記,完整內容請移步:https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/7.0_Release_Notes/index.html

相關文章