Linux:RHEL 7特性说明(八):联网与认证
June 19, 2015
Red Hat Enterprise Linux 7.0 是 Red Hat 的下一代操作系统完整套件,旨在用于关键任务企业级计算以及顶级企业级软件和硬件零售商认证。
Table of Contents
联网
网络分组
已引进网络分组技术作为链路聚集的捆绑备用方法。该技术旨在轻松管理、debug 和扩展。它可为用户提供性能和灵活性提高,且应为新安装进行评估。
NetworkManager
已对 NetworkManager 进行了大量改进使其更适合在服务器应用程序中使用。特别是NetworkManager 不再默认查看配置文件更改,比如那些由编辑器或者开发工具更改的配置文件。管理员可使其意识到使用 nmcli connection reload 命令进行的外部修改。使用NetworkManager 的 D-Bus API 或者 NetworkManager 命令行工具 nmcli 进行的修改仍可立即生效。
引进 nmcli 工具是要让用户和脚本可以与 NetworkManager 互动。
chrony 套件
可使用程序套件 chrony 更新系统中不适合传统持久联网系统时钟,那些时钟总是在专门服务器分类中。应在所有经常挂起的系统中,或者间歇性断开并重新连接到网络的系统中关注 chrony 套件。例如:移动系统和虚拟系统。
动态防火墙守护进程 firewalld 套件
Red Hat Enterprise Linux 7.0 提供动态防火墙守护进程 firewalld,它可提供一个动态管理的防火墙,并支持网络“区域”以便为网络及其相关链接和接口分配可信度。它还支持 IPv4 和 IPv6 防火墙设置。它支持以太网桥接并有独立的运行时和持久配置选项。它还有一个可直接添加防火墙规则的服务或者应用程序接口。
DNSSEC
DNSSEC 是一组域名系统安全扩展(DNSSEC),允许 DNS 客户端认证和检查来自 DNS 名称服务器响应的完整性以便确认其起始点,并确定在中转过程中是否受到影响。
OpenLMI
Red Hat Enterprise Linux 7.0 中附带 OpenLMI 项目,它为管理 Linux 系统提供常用的基础设施。它还可让用户配置、管理并监控硬件、操作系统及系统服务。OpenLMI 旨在简化任务配置及产品服务器管理。OpenLMI 旨在为 Red Hat Enterprise Linux 的多个版本提供常用管理接口。它是构建在现有工具的顶层,提供一个提取层,为系统管理员过滤了很多底层系统的复杂性。OpenLMI 由安装在要管理的系统中的一组系统管理代理、可管理这些代理并为其提供界面 OpenLMI 控制程序以及使用 OpenLMI 控制程序调用系统管理代理的客户端应用程序或者脚本。OpenLMI 可让用户执行以下操作:
- 配置、管理和监控裸机产品服务器及虚拟机;
- 配置、管理和监控本地或者远程系统;
- 配置、管理及监控存储和网络;
- 使用 C/C++、Python、Java 或者命令行界面调用系统管理功能
请注意,OenLMI 软件提供程序是作为技术预览支持。该软件功能完善,但某些操作可能会消耗大量资源。有关 OpenLMI 的详情请参考 http://www.openlmi.org。
qlcnic 驱动程序中的 SR-IOV 功能
已在 qlcnic 中添加单一 Root I/O 虚拟化(SR-IOV)支持作为技术预览。对这个功能的支持直接由 QLogic 提供,同时鼓励用户为 Red Hat 提供反馈意见。仍全面支持 qlcnic 驱动程序中的其他功能。
FreeRADIUS 3.0.1
Red Hat Enterprise Linux 7.0 包含 FreeRADIUS 版本 3.0.1,它可提供大量新功能,其中主要有:
- RadSec,用于使用 TCP 和 TLS 传输 RADIUS 数据包的协议。
- Yubikey 支持。
- 连接池。radiusd 服务器为各种后端(SQL、LDAP 及其他)维护连接。连接池可在较低资源需求的情况下提供较大的吞吐量。
- 已扩展服务器配置编程语言 unlang 语法。
- 提高了对 site-specific 和 vendor-specific 属性的支持。
- 提高了 debug 功能,在详细输出结果中突出显示问题所在。
- 生成 SNMP 陷阱。
- 改进的 WIMAX 支持。
- EAP-PWD 支持。
可信的网络连接
Red Hat Enterprise Linux 7.0 引进了可信网络连接功能作为技术预览。可信网络连接可用于现有网络访问控制(NAC)解决方案,比如 TLS、802.1x 或者 IPSec 整合端点态势评估,即收集端点系统信息(比如操作系统配置设置,安装的软件包及其他,总称为完整性测量)。在允许该端点访问该网络前使用可信网络连接根据网络访问策略确认这些测量。
认证和互操作性
新的信任实施
目前在 Red Hat Enterprise Linux 5.9 客户端以及之后的 Red Hat Enterprise Linux 6.3 客户端中支持使用在 Active Directory 中定义的用户 ID 或者组 ID,而不是由用户安全标识符生成的用户 ID 或者组 ID。如果在 Active Directory 中定义了 POSIX 属性,这个信任实施就很有用。
已更新 slapi-nis 插件
Red Hat Enterprise Linux 7.0 拥有更新后的目录服务器插件 slapi-nis,该插件允许 Active Directory 用户在原有客户端中进行认证。注:这个功能时技术预览。
IPA 的备份和恢复机制
IPA 组件的备份和恢复机制在 Red Hat Enterprise Linux 7.0 中是作为技术预览提供。
Samba 4.1.0
Red Hat Enterprise Linux 7.0 中包括升级到最新 upstream 版本的 samba 软件包,该软件包引进了一些 bug 修复和改进,最主要的是支持服务器和客户端工具中的 SMB3 协议。
另外,SMB3 传输可启用对支持 SMB3 的 Windows 服务器以及 Samba 服务器的加密传输连接。同时,Samba 4.1.0 添加了对服务器端复制操作的支持。采用支持服务器端复制操作的客户端,比如最新的 Windows 发行本应体验到明显的文件复制操作性能提高。
警告
更新后的 samba 软件包删除了一些已弃用的配置选项。最主要的是服务器角色 security = share 和 security = server。另外,已完全删除网页配置工具 SWAT。有关详情请参考 Samba 4.0 和 4.1 发行注记:
https://www.samba.org/samba/history/samba-4.0.0.html
https://www.samba.org/samba/history/samba-4.1.0.html
注:更新了一些 tdb 文件。就是说您启动 smbd 的新版本后就会升级所有 tdb 文件。您无法降级到原来的 Samba 版本,除非您备份那些 tdb 文件。
有关这些变化的详情请参考上述 Samba 4.0 和 4.1 发行注记。
AD 和 LDAP sudo 提供程序的用法
AD 提供程序是一个用来连接 Active Directory 服务器的后端程序。在 Red Hat Enterprise Linux 7.0 中,支持将 AD sudo 提供程序与 LDAP 提供持续一同使用是最为一项技术预览提供的。要启用 AD sudo 提供程序,请在 sssd.conf 文件的 domain 部分添加 sudo_provider=ad 设置。
本系列文章来自 RHEL 7.0 的发行注记,完整内容请移步:https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/7.0_Release_Notes/index.html
0 Comments