6.11. IdM (Identity Management)

IdM 배포의 DNS over TLS(DoT)는 기술 프리뷰로 사용 가능

DNS over TLS(DoT)를 사용하는 암호화된 DNS는 IdM(Identity Management) 배포에서 기술 프리뷰로 사용할 수 있습니다. 이제 DNS 클라이언트와 IdM DNS 서버 간의 모든 DNS 쿼리와 응답을 암호화할 수 있습니다.

이 기능을 사용하려면 IdM 서버 및 복제본용 ipa-server-encrypted-dns 패키지와 IdM 클라이언트용 ipa-client-encrypted-dns 패키지를 설치합니다. 관리자는 --dns-over-tls 옵션을 사용하여 설치 중에 DoT를 활성화할 수 있습니다.

IdM은 unbound를 로컬 캐싱 확인자 및 BIND로 구성하여 DoT 요청을 수신합니다. 이 기능은 CLI(명령줄 인터페이스) 및 IdM 비대화형 설치를 통해 사용할 수 있습니다.

DoT를 구성하려면 IdM 서버, 복제본, 클라이언트 및 통합 DNS 서비스의 설치 유틸리티에 새로운 옵션이 추가되었습니다.

--dot-forwarder: 업스트림 DoT 사용 DNS 서버를 지정합니다.
--dns-over-tls-key 및 --dns-over-tls-cert 를 사용하여 DoT 인증서를 구성합니다.
--dns-policy: DNS 보안 정책을 설정하여 암호화되지 않은 DNS로 대체하거나 엄격한 DoT 사용을 강제 적용합니다.

기본적으로 IdM은 완화 된 DNS 정책을 사용하므로 암호화되지 않은 DNS로 대체할 수 있습니다. 새 --dns-policy 옵션을 enforced 설정과 함께 사용하여 암호화된 통신만 적용할 수 있습니다.

또한 새로운 DoT 옵션과 함께 ipa-dns-install 을 사용하여 통합 DNS 서비스를 재구성하여 기존 IdM 배포에서 DoT를 활성화할 수도 있습니다.

자세한 내용은 IdM에서 DNS 보안을 참조하십시오.

Jira:RHEL-67913^[1], Jira:RHELDOCS-20059

DNSSEC를 IdM에서 기술 프리뷰로 사용 가능

통합 DNS가 있는 IdM(Identity Management) 서버는 DNS 프로토콜의 보안을 강화하는 DNS 확장 프로그램 세트인 DNSSEC(DNS Security Extensions)를 구현합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 로그인할 수 있습니다. 암호화 키가 자동으로 생성되고 순환됩니다.

DNSSEC로 DNS 영역을 보호하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.

통합 DNS가 있는 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 권장되는 이름 지정 방식에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다.

Jira:RHELPLAN-121751^[1]

ACME를 기술 프리뷰로 사용 가능

ACME(Automated Certificate Management Environment) 서비스는 이제 IdM(Identity Management)에서 기술 프리뷰로 사용할 수 있습니다. ACME는 자동 식별자 검증 및 인증서 발행을 위한 프로토콜입니다. 이는 인증서 수명을 줄이고 인증서 라이프사이클 관리에서 수동 프로세스를 방지하여 보안을 개선하는 것입니다.

RHEL에서 ACME 서비스는 RHCS(Red Hat Certificate System) PKI ACME 응답자를 사용합니다. RHCS ACME 하위 시스템은 IdM 배포의 모든 CA(인증 기관) 서버에 자동으로 배포되지만 관리자가 이를 활성화할 때까지 서비스 요청은 수행하지 않습니다. RHCS는 ACME 인증서를 발행할 때 acmeIPAServerCert 프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. ACME 서비스를 활성화하거나 비활성화하면 전체 IdM 배포에 영향을 미칩니다.

중요

모든 서버가 RHEL 8.4 이상을 실행하는 IdM 배포에서만 ACME를 활성화하는 것이 좋습니다. 이전 RHEL 버전에는 ACME 서비스가 포함되어 있지 않으므로 혼합 버전 배포에서 문제가 발생할 수 있습니다. 예를 들어 ACME가 없는 CA 서버는 다른 DNS Subject Alternative Name(SAN)을 사용하므로 클라이언트 연결이 실패할 수 있습니다.

주의

현재 RHCS는 만료된 인증서를 제거하지 않습니다. ACME 인증서는 90일 후에 만료되므로 만료된 인증서는 누적될 수 있으며 이는 성능에 영향을 미칠 수 있습니다.

전체 IdM 배포에서 ACME를 활성화하려면 ipa-acme-manage enable 명령을 사용합니다.
```
ipa-acme-manage enable
```
```
# ipa-acme-manage enable
The ipa-acme-manage command was successful
```
Copy to Clipboard Toggle word wrap
전체 IdM 배포에서 ACME를 비활성화하려면 ipa-acme-manage disable 명령을 사용합니다.
```
ipa-acme-manage disable
```
```
# ipa-acme-manage disable
The ipa-acme-manage command was successful
```
Copy to Clipboard Toggle word wrap
ACME 서비스가 설치되어 있고 활성화되어 있는지 확인하려면 ipa-acme-manage status 명령을 사용합니다.
```
ipa-acme-manage status
```
```
# ipa-acme-manage status
ACME is enabled
The ipa-acme-manage command was successful
```
Copy to Clipboard Toggle word wrap

Jira:RHELPLAN-121754^[1]

IdM-to-IdM 마이그레이션은 기술 프리뷰로 사용 가능

IdM-to-IdM 마이그레이션은 Identity Management에서 기술 프리뷰로 사용할 수 있습니다. 새로운 ipa-migrate 명령을 사용하여 SUDO 규칙, HBAC, DNA 범위, 호스트, 서비스 등과 같은 모든 IdM 관련 데이터를 다른 IdM 서버로 마이그레이션할 수 있습니다. 예를 들어 개발 또는 스테이징 환경에서 프로덕션 환경으로 IdM을 이동하거나 두 개의 프로덕션 서버 간에 IdM 데이터를 마이그레이션할 때 유용할 수 있습니다.

Jira:RHELDOCS-18408^[1]

6.11. IdM (Identity Management)

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links