13장. IdM (Identity Management)

IdM 배포의 DNS over TLS(DoT)는 기술 프리뷰로 사용 가능

이제 DoT(DNS over TLS)를 사용하는 암호화된 DNS를 IdM(Identity Management) 배포에서 기술 프리뷰로 사용할 수 있습니다. 이제 DNS 클라이언트와 IdM DNS 서버 간의 모든 DNS 쿼리와 응답을 암호화할 수 있습니다.

SSSD에서 동적 DoT 업데이트 지원

SSSD는 이제 DNS-over-TLS(DoT)를 사용하여 모든 동적 DNS(dyndns) 쿼리 실행을 지원합니다. IdM(Identity Management) 및 Active Directory 서버와 같은 IP 주소가 변경되면 DNS 레코드를 안전하게 업데이트할 수 있습니다. 이 기능을 활성화하려면 bind9.18-utils 패키지에서 nsupdate 툴을 설치해야 합니다.

IdM-to-IdM 마이그레이션을 기술 프리뷰로 사용 가능

RHEL 10에서는 Red Hat이 지원되지 않는 기술 프리뷰로 제공하는 새로운 ipa-migrate 유틸리티를 사용하여 SUDO 규칙, HBAC, DNA 범위, 호스트, 서비스 등과 같은 모든 IdM 관련 데이터를 다른 IdM 서버로 마이그레이션할 수 있습니다. 예를 들어 개발 또는 스테이징 환경에서 프로덕션 환경으로 IdM을 이동하거나 두 개의 프로덕션 서버 간에 IdM 데이터를 마이그레이션할 때 유용할 수 있습니다.

Ansible-freeipa 에서 Ansible 컬렉션 형식 사용

RHEL 10에서 ansible-freeipa rpm은 freeipa.ansible_freeipa 컬렉션만 설치합니다.

이제 IdM에서 HSM이 완전히 지원됨

HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.

만료된 인증서 자동 삭제가 기본적으로 활성화됨

RHEL 10에서 이제 새 복제본의 IdM에서 만료된 인증서의 자동 제거가 기본적으로 활성화됩니다. 이에 대한 전제 조건은 RSNv3을 사용하여 인증서에 대한 임의의 일련 번호 생성이며 이제 기본적으로 활성화됩니다.

IdM에서 DNSSEC가 제대로 작동하지 않음

RHEL 10의 IdM에서 DNSSEC(DNS Security Extensions)는 openssl-pkcs11 OpenSSL 엔진을 pkcs11-provider OpenSSL 공급자로 대체한 여러 미해결 문제로 인해 제대로 작동하지 않습니다.

pam_console 모듈이 제거되었습니다.

pam_console 모듈이 RHEL 10에서 제거되었습니다. pam_console 모듈은 물리적 콘솔 또는 터미널에서 로그인한 사용자에게 파일 권한 및 인증 기능을 부여하고 콘솔 로그인 상태 및 사용자 존재 여부에 따라 이러한 권한을 조정했습니다. pam_console 대신 systemd-logind 시스템 서비스를 대신 사용할 수 있습니다. 구성 세부 정보는 logind.conf(5) 도움말 페이지를 참조하십시오.

libss_simpleifp 하위 패키지 제거

libss_simpleifp .so 라이브러리를 제공하는 libss_simpleifp 하위 패키지는 RHEL 9에서 더 이상 사용되지 않습니다. RHEL 10에서 libss_simpleifp 하위 패키지가 제거되었습니다.

AD 및 IdM 공급자에서 열거 기능이 제거되었습니다.

AD 및 IdM 공급자의 getent passwd/group 을 사용하여 모든 사용자 또는 그룹을 나열할 수 있는 열거 기능 지원은 RHEL(Red Hat Enterprise Linux) 9에서 더 이상 사용되지 않습니다. RHEL 10에서는 열거 기능이 제거되었습니다.

NIS 서버 에뮬레이터가 제거되었습니다.

RHEL IdM은 더 이상 NIS 기능을 제공하지 않습니다.

RSA PKINIT 방법이 제거되었습니다.

개인 키 기반 RSA 방법은 MIT Kerberos에서 더 이상 지원되지 않습니다. 보안상의 이유로 제거되었으며, 특히 Marvin 공격에 취약점이 있기 때문입니다. 결과적으로 kinit 명령의 -X 플래그_RSA_PROTOCOL 매개변수가 더 이상 적용되지 않습니다. Diffie-Hellman 키 계약 방법은 기본 PKINIT 메커니즘으로 사용됩니다.

389-ds-base 패키지는 이제 LMDB 인스턴스만 생성합니다.

이전에는 Directory Server에서 Berkeley Database(BDB)가 있는 인스턴스를 생성했습니다. 그러나 389-ds-base 에서 사용하는 BDB 버전을 구현하는 libdb 라이브러리는 RHEL 10에서 더 이상 사용할 수 없습니다.

이제 Authselect는 PAM에 필요하며 제거할 수 없습니다.

RHEL 10에서 authselect-libs 패키지는 이제 /etc/nsswitch.conf 를 소유하고, system-auth,password-auth,smartcard-auth,fingerprint-auth, /etc/pam.d/ 의 postlogin 을 포함하여 선택한 PAM 구성을 소유합니다. 이러한 파일의 소유권은 이전에 glibc 패키지 및 pam 패키지에서 이전에 소유한 PAM 구성 파일이 /etc/nsswitch.conf 를 사용하여 authselect-libs 패키지로 전송되었습니다. pam 패키지에 authselect 가 필요하므로 제거할 수 없습니다.

SSSD 파일 공급자가 제거되었습니다.

SSSD 파일 공급자가 RHEL 10.0에서 제거되었습니다. 이전에는 SSSD 파일 공급자가 로컬 사용자를 위한 스마트 카드 인증 및 세션 기록을 담당했습니다. 대신 SSSD 프록시 공급자를 구성할 수 있습니다.

로컬 프로파일은 새로운 기본 authselect 프로파일입니다.

RHEL 10.0에서 SSSD 파일 공급자를 제거했기 때문에 SSSD에 의존하지 않고 로컬 사용자 관리를 처리하기 위해 새로운 authselect 로컬 프로필이 도입되었습니다. 로컬 프로필은 이전 최소 프로필을 대체하고 sssd 프로필 대신 새 설치에 대한 기본 authselect 프로필이 됩니다.

dnssec-enable: no; 옵션이 제거되었습니다.

RHEL 10.0에서 /etc/named/ipa-options-ext.conf 파일의 dnssec-enable: no; 옵션이 제거되었습니다. DNSSEC(DNS Security Extensions)는 기본적으로 활성화되어 있으며 비활성화할 수 없습니다. dnssec-validation: no; 옵션은 계속 사용할 수 있습니다.

reconnection_retries 옵션이 제거되었습니다.

reconnection_retries 옵션은 RHEL 10.0의 SSSD에 있는 sssd.conf 파일에서 제거되었습니다. SSSD가 SSSD 프로세스와 응답자 간에 내부 IPC를 사용하여 새 아키텍처로 전환되어 더 이상 백엔드에 연결되지 않으므로 reconnection_retries 옵션이 더 이상 사용되지 않습니다.