8.11. IdM (Identity Management)

클라이언트 보안이 필요한 외부 IdP에 대한 인증이 가능

이전에는 SSSD에서 클라이언트 시크릿을 외부 ID 공급자(IdP)에 올바르게 전달하지 않았습니다. 결과적으로 클라이언트 시크릿이 필요한 ipap-add --secret 명령으로 이전에 구성한 외부 IdP에 대한 인증이 실패했습니다. 이번 업데이트를 통해 SSSD에서 클라이언트 시크릿을 IdP에 전달하여 사용자가 인증할 수 있습니다.

IdM에서 Ansible을 사용하여 sudo 규칙의 hostmask 설정을 지원

이전에는 ipa sudorule-add-host 명령을 사용하여 sudo 규칙에서 hostmask를 설정할 수 있었지만 이 옵션은 ansible-freeipa 패키지에 없었습니다. 이번 업데이트를 통해 이제 ansible-freeipa hostmask 변수를 사용하여 IdM(Identity Management)에 정의된 특정 sudo 규칙이 적용되는 호스트 마스크 목록을 정의할 수 있습니다.

이제 변경 로그 압축 시간이 올바르게 작동합니다.

이전 버전에서는 변경 로그 압축에 대한 사용자 지정 예약된 시간을 구성하면 서버가 새 설정을 적용하지 않았으며 최대 시간 동안 변경 로그 압축이 시작될 수 있었습니다. 이번 릴리스에서는 이제 서버가 변경 로그 압축의 사용자 정의 시간을 올바르게 적용합니다.

이름에 혼합된 대소문자 문자가 포함된 경우 IdM 클라이언트는 신뢰할 수 있는 AD 사용자의 정보를 올바르게 검색

이전 버전에서는 사용자의 사용자 조회 또는 인증을 시도했고 신뢰할 수 있는 AD(Active Directory) 사용자에게 이름에 혼합된 케이스 문자가 포함되어 있고 IdM에서 재정의를 통해 구성된 경우 오류가 반환되어 사용자가 IdM 리소스에 액세스할 수 없었습니다.

mod_auth_gssapi 가 사용자 매핑에 대한 GssapiLocalName 설정을 존중합니다.

mod_auth_gssapi -1.6.1-9.el8 을 업데이트하기 전에 회귀 문제로 인해 이 동작을 명시적으로 활성화하지 않고 krb5 구성에서 auth_to_local_names 설정을 사용하여 주체를 로컬 사용자 이름으로 변환할 수 있었습니다. 그 결과 GssapiLocalName 옵션이 On 으로 설정되지 않은 경우에도 mod_auth_gssapi 를 사용하는 httpd 설정에서 auth_to_local_names 설정을 기반으로 클라이언트 ID를 실수로 매핑할 수 있었습니다. 이번 업데이트를 통해 원래 동작이 복원됩니다. auth_to_local_names 를 통해 사용자 매핑을 활성화하려면 이제 httpd 구성에서 GssapiLocalName 을 On 으로 명시적으로 설정해야 합니다.