9.11. IdM (Identity Management)

DNSSEC를 IdM에서 기술 프리뷰로 사용 가능

통합 DNS가 있는 IdM(Identity Management) 서버는 DNS 프로토콜의 보안을 강화하는 DNS 확장 프로그램 세트인 DNSSEC(DNS Security Extensions)를 구현합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 로그인할 수 있습니다. 암호화 키가 자동으로 생성되고 순환됩니다.

DNSSEC로 DNS 영역을 보호하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.

통합 DNS가 있는 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 권장되는 이름 지정 방식에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다.

Bugzilla:2084180

HSM 지원은 기술 프리뷰로 사용 가능

HSM(하드웨어 보안 모듈) 지원은 이제 IdM(Identity Management)에서 기술 프리뷰로 제공됩니다. IdM CA 및 KRA의 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.

IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IPA 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 툴링을 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.

참고

기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.

다음이 필요합니다.

지원되는 HSM
HSM PKCS #11 라이브러리
사용 가능한 슬롯, 토큰 및 토큰 암호

HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

Copy to Clipboard

Toggle word wrap

Jira:RHELDOCS-17465^[1]

LMDB 데이터베이스 유형은 Directory Server에서 기술 프리뷰로 사용 가능

Lightning Memory-Mapped Database(LMDB)는 지원되지 않는 기술 프리뷰로 Directory Server에서 사용할 수 있습니다.

현재 명령줄만 사용하여 LMDB가 있는 인스턴스를 마이그레이션하거나 설치할 수 있습니다.

기존 인스턴스를 BDB(Berkeley Database)에서 LMDB로 마이그레이션하려면 nsslapd-backend-implement 매개변수 값을 mdb 로 설정하는 dsctl instance_name dblib bdb2mdb 명령을 사용합니다. 이 명령은 이전 데이터를 정리하지 않습니다. nsslapd-backend-implement 를 bdb 로 변경하여 데이터베이스 유형을 되돌릴 수 있습니다. 자세한 내용은 기존 DS 인스턴스에서 BDB에서 LMDB로 데이터베이스 유형을 마이그레이션 을 참조하십시오.

중요: 기존 인스턴스를 BDB에서 LMDB로 마이그레이션하기 전에 데이터베이스를 백업하십시오. 자세한 내용은 Directory Server 백업을 참조하십시오.

LMDB로 새 인스턴스를 생성하려면 다음 방법 중 하나를 사용할 수 있습니다.

대화형 설치 프로그램에서 mdb 또는 bdb가 행 사용 여부를 선택에서 mdb 를 설정합니다. 자세한 내용은 대화형 설치 프로그램을 사용하여 인스턴스 생성을 참조하십시오.
.inf 파일에서 [slapd] 섹션에 db_lib = mdb 를 설정합니다. 자세한 내용은 Directory Server 인스턴스 설치에 대한 .inf 파일 만들기를 참조하십시오.

Directory Server는 cn=mdb,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config 항목 아래에 LMDB 설정을 저장합니다.

nsslapd-mdb-max-size 는 데이터베이스 최대 크기를 바이트 단위로 설정합니다.
중요: nsslapd-mdb-max-size 가 의도한 모든 데이터를 저장할 수 있을 만큼 충분히 높은지 확인합니다. 그러나 데이터베이스 파일이 메모리 매핑되므로 매개 변수 크기가 성능에 영향을 미치는 데 너무 길지 않아야 합니다.
nsslapd-mdb-max-readers 는 동시에 열 수 있는 최대 읽기 작업 수를 설정합니다. Directory Server는 이 설정을 자동으로 조정합니다.
nsslapd-mdb-max-dbs 는 메모리 매핑된 데이터베이스 파일에 포함될 수 있는 최대 명명된 데이터베이스 인스턴스 수를 설정합니다.

새로운 LMDB 설정과 함께 nsslapd-db-home-directory 데이터베이스 구성 매개변수를 계속 사용할 수 있습니다.

혼합된 구현의 경우 복제 토폴로지에 BDB 및 LMDB 복제본을 사용할 수 있습니다.

Jira:RHELDOCS-19061^[1]

ACME는 만료된 인증서를 기술 프리뷰로 자동 제거 지원

IdM(Identity Management)의 ACME(Automated Certificate Management Environment) 서비스는 CA(인증 기관)에서 만료된 인증서를 기술 프리뷰로 제거하는 자동 메커니즘을 추가합니다. 결과적으로 ACME는 이제 지정된 간격으로 만료된 인증서를 자동으로 제거할 수 있습니다.

이번 개선된 기능을 통해 ACME는 이제 지정된 간격으로 만료된 인증서를 자동으로 제거할 수 있습니다.

만료된 인증서 제거는 기본적으로 비활성화되어 있습니다. 이를 활성화하려면 다음을 입력합니다.

ipa-acme-manage pruning --enable --cron "0 0 1 * *"

# ipa-acme-manage pruning --enable --cron "0 0 1 * *"

Copy to Clipboard

Toggle word wrap

이렇게 하면 매일 자정에 만료된 인증서가 제거됩니다.

참고

만료된 인증서는 보존 기간 후에 제거됩니다. 기본적으로 만료 후 30일입니다.

자세한 내용은 ipa-acme-manage(1) 매뉴얼 페이지를 참조하십시오.

Jira:RHELPLAN-145900

IdM-to-IdM 마이그레이션은 기술 프리뷰로 사용 가능

IdM-to-IdM 마이그레이션은 Identity Management에서 기술 프리뷰로 사용할 수 있습니다. 새로운 ipa-migrate 명령을 사용하여 SUDO 규칙, HBAC, DNA 범위, 호스트, 서비스 등과 같은 모든 IdM 관련 데이터를 다른 IdM 서버로 마이그레이션할 수 있습니다. 예를 들어 개발 또는 스테이징 환경에서 프로덕션 환경으로 IdM을 이동하거나 두 개의 프로덕션 서버 간에 IdM 데이터를 마이그레이션할 때 유용할 수 있습니다.

Jira:RHELDOCS-18408^[1]

9.11. IdM (Identity Management)

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links