6.16. SSSD

authselect에 추가된 그룹 병합 지원

authselect 유틸리티를 사용하는 경우 더 이상 nsswitch.conf 파일을 수동으로 편집하여 그룹 병합을 활성화할 필요가 없습니다. 이번 업데이트를 통해 이제 authselect 프로필에 통합되어 수동 변경 사항이 필요하지 않습니다.

이제 Authselect는 PAM에 필요하며 제거할 수 없습니다.

이 향상된 기능을 통해 authselect-libs 패키지는 이제 /etc/nsswitch.conf 를 소유하고, system-auth,password-auth,smartcard-auth,fingerprint-auth, /etc/pam.d/ 의 postlogin 을 포함하여 선택한 PAM 구성을 소유합니다. 이러한 파일의 소유권은 이전에 pam 패키지에서 소유한 'glibc 패키지 및 PAM 구성 파일이 /etc/nsswitch.conf' 를 사용하여 authselect-libs 패키지로 전송되었습니다. pam 패키지에 authselect 가 필요하므로 제거할 수 없습니다.

로컬 프로파일은 새로운 기본 authselect 프로파일입니다.

SSSD 파일 공급자가 제거되었기 때문에 SSSD에 의존하지 않고 로컬 사용자 관리를 처리하기 위해 새로운 authselect 로컬 프로필이 도입되었습니다. 로컬 프로필은 이전 최소 프로필을 대체하고 sssd 프로필 대신 새 설치에 대한 기본 authselect 프로필이 됩니다.

SSSD에서 동적 DoT 업데이트 지원

SSSD는 DNS-over-TLS(DoT)를 사용하여 모든 동적 DNS(dyndns) 쿼리 수행을 지원합니다. IdM(Identity Management) 및 Active Directory 서버와 같은 IP 주소가 변경되면 DNS 레코드를 안전하게 업데이트할 수 있습니다. 이 기능을 활성화하려면 bind9.18-utils 패키지에서 nsupdate 툴을 설치해야 합니다.

새로운 SSSD 옵션: exop_force

exop_force 옵션을 사용하여 유예 로그인이 남아 있지 않은 경우에도 암호 변경을 강제 적용할 수 있습니다. 이전에는 LDAP 서버에서 유예 로그인이 남아 있지 않다고 표시된 경우 SSSD에서 암호 변경을 시도하지 않았습니다. 이제 sssd.conf 파일의 [domain/…​] 섹션에서 ldap_pwmodify_mode = exop_force 를 설정하는 경우 SSSD는 유예 로그인이 남아 있지 않은 경우에도 암호를 변경하려고 합니다.

권한이 감소된 SSSD 실행

일반 시스템 강화(최소 권한이 있는 소프트웨어 실행)를 지원하기 위해 SSSD(System Security Services Daemon) 서비스는 sssd 또는 root 에서 systemd 서비스 구성 파일(service user)을 사용하여 실행되도록 구성됩니다. 이 서비스 사용자는 기본적으로 sssd 이며, 설정된 서비스 사용자인 root 또는 sssd 와 관계없이 몇 가지 권한 있는 도우미 프로세스를 제외하고 모든 루트 기능이 삭제됩니다.

knownHostsCommand 에 대한 지원이 SSSD에 추가되었습니다.

이번 업데이트를 통해 knownn HostsCommand 에 대한 지원이 SSSD에 추가되었습니다. SSH knownn HostsCommand 구성 옵션과 함께 sss_ssh_knownhosts 도구를 사용하여 FreeIPA, LDAP 등과 같은 원격 서버에서 호스트의 공개 키를 검색할 수 있습니다. sss_ssh_knownhosts 툴은 덜 신뢰할 수 있는 sss_ssh_knownhostsproxy 도구를 대체합니다. sss_ssh_knownhostsproxy 를 더 이상 사용할 수 없으며 도구가 더 이상 사용되지 않음을 나타내는 메시지가 표시됩니다.