3.14. IdM (Identity Management)


IdM ID 범위 불일치를 관리하는 새 툴

이번 업데이트를 통해 IdM(Identity Management)은 ipa-idrange-fix 툴을 제공합니다. ipa-idrange-fix 툴을 사용하여 기존 IdM ID 범위를 분석하고, 이러한 범위를 벗어나는 사용자와 그룹을 식별하고, 이를 포함할 새로운 ipa-local 범위를 생성할 것을 제안할 수 있습니다.

ipa-idrange-fix 툴은 다음을 수행합니다.

  • LDAP에서 기존 범위를 읽고 분석합니다.
  • ipa-local 범위를 벗어나는 사용자 및 그룹을 검색합니다.
  • 식별된 사용자 및 그룹을 포괄하기 위해 새로운 ipa-local 범위를 제안합니다.
  • 사용자에게 제안된 변경 사항을 적용하도록 요청합니다.

기본적으로 이 툴은 시스템 계정과의 충돌을 방지하기 위해 1000 미만의 ID를 제외합니다. 권장되는 변경 사항을 적용하기 전에 전체 시스템 백업을 생성하는 것이 좋습니다.

자세한 내용은 ipa-idrange-fix(1) 매뉴얼 페이지를 참조하십시오.

Jira:RHEL-45330

Kerberos는 이제 Elliptic Curve Diffie-Hellman 키 계약 알고리즘 지원

RFC5349에 정의된 PKINIT의 ECDH(Elliptic Curve Diffie-Hellman) 주요 계약 알고리즘이 지원됩니다. 이번 업데이트를 통해 krb5.conf'file의 pkinit_dh_min_bits 설정을 이제 기본적으로 ECDH를 사용하도록 'P-256 ,P-384 또는 P-521 로 구성할 수 있습니다.

Jira:RHEL-4902

Ansible-freeipa 1.14.5 업데이트

ansible-freeipa 패키지는 버전 1.13.2에서 버전 1.14.5로 변경되었습니다. 주요 개선 사항 및 버그 수정은 다음과 같습니다.

  • module_defaults 를 사용하여 여러 ansible-freeipa 작업의 변수를 정의할 수 있습니다.

    freeipa.ansible_freeipa 컬렉션은 ansible-freeipa 모듈 사용을 간소화하는 module_defaults 작업 그룹을 제공합니다. module_defaults 를 사용하면 플레이북에서 사용되는 컬렉션의 모든 모듈에 적용할 기본값을 설정할 수 있습니다. 이렇게 하려면 freeipa.ansible_freeipa.modules 라는 action_group 을 사용하십시오. 예를 들면 다음과 같습니다.

    - name: Test
       hosts: localhost
       module_defaults:
         group/freeipa.ansible_freeipa.modules:
           ipaadmin_password: Secret123
       tasks:
    …
    Copy to Clipboard Toggle word wrap

    결과적으로 플레이북이 더 간결해집니다.

  • 이제 단일 Ansible 작업에서 여러 IdM sudo 규칙을 관리할 수 있습니다.

    이번 개선된 기능에는 ansible-freeipasudorules 옵션이 추가되었습니다. sudorules 를 사용하면 단일 Ansible 작업을 사용하여 여러 IdM(Identity Management) sudo 규칙을 추가, 수정, 삭제할 수 있습니다. 이렇게 하려면 ipasudorule 모듈의 sudorules 옵션을 사용합니다. 결과적으로 sudo 규칙을 더 쉽게 정의하고 더 효율적으로 실행할 수 있습니다.

    sudo rules 옵션을 사용하여 특정 sudo 규칙에 적용되는 여러 sudo 규칙 매개변수를 지정할 수 있습니다. 이 sudo 규칙은 sudorules 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다. 

  • ipagroup 모듈을 사용하여 외부 멤버 제거가 올바르게 작동합니다.

    이전에는 ansible-freeipa ipagroup 모듈을 externalmember 매개변수와 함께 사용하여 IdM 그룹에서 외부 멤버가 없는지 확인하려고 하면 Ansible에서 작업 결과를 changed 로 표시했지만 그룹에서 멤버가 제거되지 않았습니다. 이번 수정을 통해 externalmember 와 함께 ipagroup 모듈을 올바르게 사용하면 IdM 그룹에서 외부 멤버가 없는지 확인합니다. 또한 이 수정을 통해 192.0.2.\name 또는 name@domain을 사용하여 AD 사용자를 식별할 수 있습니다.

Jira:RHEL-67566

389-DS-base 가 버전 2.6.1로 업데이트됨

389-ds-base 패키지는 2.6.1 버전으로 업데이트되었습니다. 버전 2.5.2에 비해 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 오류 로그에 대한 로그 버퍼링
  • JSON 형식으로 감사 로그를 작성하는 옵션
  • 그룹이 업데이트될 때 그룹 멤버를 지연하는 옵션
  • PBKDF2 반복 수를 구성하는 옵션
  • logconv.py 로그 Analyzer 툴

Jira:RHEL-67195

OpenLDAP 는 2.6.8 버전으로 업데이트되었습니다.

openldap 패키지가 2.6.8 버전으로 업데이트되었습니다. 이 업데이트에는 다음을 포함한 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.

  • TLS 연결 처리가 향상되었습니다.
  • Kerberos SASL 은 Active Directory 인증서가 ECC(Elliptic Curve Cryptography) 인증서이고 SASL_CBINDINGtls-endpoint 로 설정된 경우에도 STARTTLS 에서 작동합니다.

Jira:RHEL-71053

Directory Server에서 새로운 memberOfDeferredUpdate: on/off 구성 속성을 사용할 수 있습니다.

이번 업데이트를 통해 Directory Server는 MemberOf 플러그인에 대한 새 memberOfDeferredUpdate 구성 속성을 도입합니다. on 으로 설정하면 MemberOf 플러그인은 그룹 구성원 업데이트를 지연하여 그룹 변경 사항이 많은 멤버에 영향을 미치는 경우 서버 응답성을 향상시킵니다.

자세한 내용은 Red Hat Directory Server 12 구성 및 스키마 참조 문서의 memberOfDeferredUpdate 를 참조하십시오.

Jira:RHEL-5151

Directory Server에서 오류, 감사 및 감사 실패 로그를 버퍼링 제공

이번 업데이트 이전에는 액세스 및 보안 로그만 로그 버퍼링을했습니다. 이번 업데이트를 통해 Directory Server는 오류, 감사 및 감사 실패 로그를 버퍼링합니다. 다음 설정을 사용하여 로그 버퍼링을 구성합니다.

  • 오류 로그에 대한 nsslapd-errorlog-logbuffering 기본적으로 비활성되어 있습니다.
  • 감사 및 감사 실패 로그에 대한 nsslapd-auditlog-logbuffering. 기본적으로 활성화되어 있습니다.

자세한 내용은 Red Hat Directory Server 구성 및 스키마 참조 문서의 nsslapd-errorlog-logbufferingnsslapd-auditlog-logbuffering 을 참조하십시오.

Jira:RHEL-78650

Directory Server는 성공적으로 bind 후 CRYPT 또는 CLEAR 해시 알고리즘으로 암호를 업데이트할 수 있습니다.

이번 업데이트 이전에는 Directory Server에 바인딩 중에 암호 업데이트에서 제외된 해시 알고리즘의 하드 코드 목록이 있었습니다. Directory Server는 passwordStorageScheme 속성에 구성된 CRYPT 또는 CLEAR 해시 알고리즘이 있는 사용자 암호를 업데이트하지 않았습니다.

이번 업데이트를 통해 nsslapd-scheme-list-no-upgrade-hash 구성 특성을 사용하여 암호 업데이트에서 제외해야 하는 해시 알고리즘 목록을 설정할 수 있습니다. 기본적으로 nsslapd-scheme-list-no-upgrade-hash 에는 이전 버전과의 호환성을 위해 CRYPT 및 CLEAR가 포함되어 있습니다.

Jira:RHEL-62875

이제 IdM에서 HSM이 완전히 지원됨

HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.

IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IdM 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 도구를 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.

참고

기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.

다음이 필요합니다.

  • 지원되는 HSM.
  • HSM PKI(Public-Key Cryptography Standard) #11 라이브러리
  • 사용 가능한 슬롯, 토큰 및 토큰 암호입니다.

HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Copy to Clipboard Toggle word wrap

Jira:RHELDOCS-17465[1]

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat