3.14. IdM (Identity Management)
IdM ID 범위 불일치를 관리하는 새 툴
이번 업데이트를 통해 IdM(Identity Management)은 ipa-idrange-fix
툴을 제공합니다. ipa-idrange-fix
툴을 사용하여 기존 IdM ID 범위를 분석하고, 이러한 범위를 벗어나는 사용자와 그룹을 식별하고, 이를 포함할 새로운 ipa-local
범위를 생성할 것을 제안할 수 있습니다.
ipa-idrange-fix
툴은 다음을 수행합니다.
- LDAP에서 기존 범위를 읽고 분석합니다.
-
ipa-local
범위를 벗어나는 사용자 및 그룹을 검색합니다. -
식별된 사용자 및 그룹을 포괄하기 위해 새로운
ipa-local
범위를 제안합니다. - 사용자에게 제안된 변경 사항을 적용하도록 요청합니다.
기본적으로 이 툴은 시스템 계정과의 충돌을 방지하기 위해 1000 미만의 ID를 제외합니다. 권장되는 변경 사항을 적용하기 전에 전체 시스템 백업을 생성하는 것이 좋습니다.
자세한 내용은 ipa-idrange-fix(1)
매뉴얼 페이지를 참조하십시오.
Kerberos는 이제 Elliptic Curve Diffie-Hellman 키 계약 알고리즘 지원
RFC5349에 정의된 PKINIT의 ECDH(Elliptic Curve Diffie-Hellman) 주요 계약 알고리즘이 지원됩니다. 이번 업데이트를 통해 krb5.conf'file의
.
pkinit_dh_min_bits
설정을 이제 기본적으로 ECDH를 사용하도록 'P-256 ,P-384
또는 P-521
로 구성할 수 있습니다
Ansible-freeipa
1.14.5 업데이트
ansible-freeipa
패키지는 버전 1.13.2에서 버전 1.14.5로 변경되었습니다. 주요 개선 사항 및 버그 수정은 다음과 같습니다.
module_defaults
를 사용하여 여러ansible-freeipa
작업의 변수를 정의할 수 있습니다.freeipa.ansible_freeipa
컬렉션은ansible-freeipa
모듈 사용을 간소화하는module_defaults
작업 그룹을 제공합니다.module_defaults
를 사용하면 플레이북에서 사용되는 컬렉션의 모든 모듈에 적용할 기본값을 설정할 수 있습니다. 이렇게 하려면freeipa.ansible_freeipa.modules
라는action_group
을 사용하십시오. 예를 들면 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 결과적으로 플레이북이 더 간결해집니다.
이제 단일 Ansible 작업에서 여러 IdM
sudo
규칙을 관리할 수 있습니다.이번 개선된 기능에는
ansible-freeipa
에sudorules
옵션이 추가되었습니다.sudorules
를 사용하면 단일 Ansible 작업을 사용하여 여러 IdM(Identity Management)sudo
규칙을 추가, 수정, 삭제할 수 있습니다. 이렇게 하려면ipasudorule
모듈의sudorules
옵션을 사용합니다. 결과적으로sudo
규칙을 더 쉽게 정의하고 더 효율적으로 실행할 수 있습니다.sudo
rulessudo
규칙 매개변수를 지정할 수 있습니다. 이sudo
규칙은sudorules
옵션에 대한 유일한 필수 변수인name
변수로 정의됩니다.ipagroup
모듈을 사용하여 외부 멤버 제거가 올바르게 작동합니다.이전에는
ansible-freeipa
ipagroup
모듈을externalmember
매개변수와 함께 사용하여 IdM 그룹에서 외부 멤버가 없는지 확인하려고 하면 Ansible에서 작업 결과를changed
로 표시했지만 그룹에서 멤버가 제거되지 않았습니다. 이번 수정을 통해externalmember
와 함께ipagroup
모듈을 올바르게 사용하면 IdM 그룹에서 외부 멤버가 없는지 확인합니다. 또한 이 수정을 통해 192.0.2.\name 또는 name@domain을 사용하여 AD 사용자를 식별할 수 있습니다.
389-DS-base
가 버전 2.6.1로 업데이트됨
389-ds-base
패키지는 2.6.1 버전으로 업데이트되었습니다. 버전 2.5.2에 비해 주요 버그 수정 및 개선 사항은 다음과 같습니다.
- 오류 로그에 대한 로그 버퍼링
- JSON 형식으로 감사 로그를 작성하는 옵션
- 그룹이 업데이트될 때 그룹 멤버를 지연하는 옵션
- PBKDF2 반복 수를 구성하는 옵션
-
logconv.py
로그 Analyzer 툴
OpenLDAP
는 2.6.8 버전으로 업데이트되었습니다.
openldap
패키지가 2.6.8 버전으로 업데이트되었습니다. 이 업데이트에는 다음을 포함한 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.
- TLS 연결 처리가 향상되었습니다.
-
Kerberos
SASL
은 Active Directory 인증서가 ECC(Elliptic Curve Cryptography) 인증서이고SASL_CBINDING
이tls-endpoint
로 설정된 경우에도STARTTLS
에서 작동합니다.
Directory Server에서 새로운 memberOfDeferredUpdate: on/off
구성 속성을 사용할 수 있습니다.
이번 업데이트를 통해 Directory Server는 MemberOf 플러그인에 대한 새 memberOfDeferredUpdate
구성 속성을 도입합니다. on
으로 설정하면 MemberOf 플러그인은 그룹 구성원 업데이트를 지연하여 그룹 변경 사항이 많은 멤버에 영향을 미치는 경우 서버 응답성을 향상시킵니다.
자세한 내용은 Red Hat Directory Server 12 구성 및 스키마 참조 문서의 memberOfDeferredUpdate 를 참조하십시오.
Directory Server에서 오류, 감사 및 감사 실패 로그를 버퍼링 제공
이번 업데이트 이전에는 액세스 및 보안 로그만 로그 버퍼링을했습니다. 이번 업데이트를 통해 Directory Server는 오류, 감사 및 감사 실패 로그를 버퍼링합니다. 다음 설정을 사용하여 로그 버퍼링을 구성합니다.
-
오류 로그에 대한
nsslapd-errorlog-logbuffering
기본적으로 비활성되어 있습니다. -
감사 및 감사 실패 로그에 대한
nsslapd-auditlog-logbuffering
. 기본적으로 활성화되어 있습니다.
자세한 내용은 Red Hat Directory Server 구성 및 스키마 참조 문서의 nsslapd-errorlog-logbuffering 및 nsslapd-auditlog-logbuffering 을 참조하십시오.
Directory Server는 성공적으로 bind 후 CRYPT 또는 CLEAR 해시 알고리즘으로 암호를 업데이트할 수 있습니다.
이번 업데이트 이전에는 Directory Server에 바인딩 중에 암호 업데이트에서 제외된 해시 알고리즘의 하드 코드 목록이 있었습니다. Directory Server는 passwordStorageScheme
속성에 구성된 CRYPT 또는 CLEAR 해시 알고리즘이 있는 사용자 암호를 업데이트하지 않았습니다.
이번 업데이트를 통해 nsslapd-scheme-list-no-upgrade-hash
구성 특성을 사용하여 암호 업데이트에서 제외해야 하는 해시 알고리즘 목록을 설정할 수 있습니다. 기본적으로 nsslapd-scheme-list-no-upgrade-hash
에는 이전 버전과의 호환성을 위해 CRYPT 및 CLEAR가 포함되어 있습니다.
이제 IdM에서 HSM이 완전히 지원됨
HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.
IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IdM 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 도구를 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.
기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.
다음이 필요합니다.
- 지원되는 HSM.
- HSM PKI(Public-Key Cryptography Standard) #11 라이브러리
- 사용 가능한 슬롯, 토큰 및 토큰 암호입니다.
HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]