Red Hat Summit4.14. IdM (Identity Management)
ipa-healthcheck 에서 인증서 만료에 대해 경고
이번 업데이트를 통해 ipa-healthcheck 툴에서 만료를 위해 사용자 제공 HTTP, DS 및 PKINIT 인증서를 평가하고 만료일 이전에 28일 전에 경고를 제공합니다. 이로 인해 인증서 만료가 잠재적으로 눈에 띄지 않아 다운타임이 발생할 수 있습니다.
Jira:RHELDOCS-20303[1]
Ansible-freeipa 1.15.1로 업데이트
Red Hat IdM(Identity Management) 환경을 관리하는 모듈과 역할을 제공하는 ansible-freeipa 패키지는 버전 1.13.2에서 1.15.1로 재기반되었습니다. 업데이트에는 다음과 같은 향상된 기능이 포함되어 있습니다.
-
ansible-freeipa-collectionredhat.rhel_idm컬렉션의 네임스페이스 및 이름과 호환됩니다. RPM 컬렉션 하위 패키지를 설치한 경우 AAH 역할 및 모듈을 참조하는 플레이북을 실행할 수 있습니다. 내부적으로 RPM 컬렉션 하위 패키지의 네임스페이스와 이름이 사용됩니다.
Jira:RHELDOCS-21029[1]
IdM에서 기존 시스템 호환성에 대해 최대 Linux 최대 UID 제한의 UID 지원
이번 업데이트를 통해 이제 4,294,967,293 또는 2^32-1까지 사용자 및 그룹 ID를 사용할 수 있습니다. 이는 IdM의 최대값이 Linux UID 제한과 일치하며 표준 IdM 범위가 최대 2,147,483,647인 경우 유용할 수 있습니다. 특히 전체 32비트 POSIX ID 공간이 필요한 레거시 시스템과 함께 IdM 배포를 활성화합니다.
표준 배포에서 IdM은 subIDS에 대해 2,147,483,648 - 4,294,836,223 범위를 예약합니다. 2^31에서 2^32-1 UID 범위를 사용하려면 subID 기능을 비활성화해야 하므로 최신 Linux 기능과 충돌합니다.
UID를 최대 2^32-1까지 활성화하려면 다음을 수행합니다.
하위 ID 기능을 비활성화합니다.
ipa config-mod --addattr ipaconfigstring=SubID:Disable
$ ipa config-mod --addattr ipaconfigstring=SubID:DisableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기존 하위 ID 범위를 제거합니다.
ipa idrange-del <id_range>
$ ipa idrange-del <id_range>Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM 서버에서 내부 DNA 플러그인 구성이 올바르게 제거되었는지 확인합니다.
ipa-server-upgrade
# ipa-server-upgradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 2^31 ~ 2^32-1 공간을 포함하는 새 로컬 ID 범위를 추가합니다. IdM이 사용자 및 그룹에 대해 SID를 올바르게 생성할 수 있도록 이 새 범위에 대한 RID 기반을 정의해야 합니다.
하위 ID가 아직 할당되지 않은 경우에만 하위 ID 기능을 비활성화할 수 있습니다.
Jira:RHEL-84277[1]
krbLastSuccessfulAuth 가 활성화된 경우 Healthcheck 경고
ipaConfigString 특성에서 krbLastSuccessfulAuth 설정을 활성화하면 많은 사용자가 동시에 인증하는 경우 성능 문제가 발생할 수 있습니다. 따라서 기본적으로 비활성화되어 있습니다. 이번 업데이트를 통해 krbLastSuccessfulAuth 가 활성화된 경우 Healthcheck 에 메시지가 표시되고 가능한 성능 문제에 대한 경고가 표시됩니다.
IdM-to-IdM 마이그레이션 사용 가능
이전에 기술 프리뷰로 사용 가능한 IdM-to-IdM 마이그레이션이 이 릴리스에서 완전히 지원됩니다. ipa-migrate 명령을 사용하여 SUDO 규칙, HBAC, DNA 범위, 호스트, 서비스 등과 같은 모든 IdM 관련 데이터를 하나의 IdM 서버에서 다른 IdM 서버로 마이그레이션할 수 있습니다. 예를 들어 개발 또는 스테이징 환경에서 프로덕션 환경으로 IdM을 이동할 때 유용할 수 있습니다.
Jira:RHELDOCS-19500[1]
Samba 버전 4.22.4로 업데이트
samba 패키지가 업스트림 버전 4.22.4로 업데이트되었습니다. 이 버전은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
- Samba는 서버 메시지 블록 버전 3(SMB3) 디렉터리 리스를 지원합니다. 이번 개선된 기능을 통해 클라이언트는 디렉터리 목록을 캐시하여 네트워크 트래픽을 줄이고 성능을 향상시킬 수 있습니다.
-
Samba는 포트 389에서 기존 UDP 방법 대신 TCP 기반 LDAP 또는 LDAPS를 사용하여 DC(Domain Controller) 정보를 쿼리하는 기능을 지원합니다. 이번 개선된 기능을 통해 방화벽 제한 환경과의 호환성이 향상되었습니다.
클라이언트 netlogon ping 프로토콜 매개변수(기본값:을 구성할 수 있습니다.CLADP)를 사용하여 프로토콜 다음 구성 매개변수가 제거됩니다.
-
nmbd_proxy_logon: 이 설정은 Samba가 고유한 NetBIOS TCP/IP(NBT) 서버를 도입하기 전에 NetLogon 인증 요청을 PDC(Windows NT4 기본 도메인 컨트롤러)로 전달하는 데 사용되었습니다. -
C
LDAP 포트: Connectionless Lightweight Directory Access Protocol(CLDAP)은 항상 UDP 포트 389를 사용합니다. 또한 Samba 코드에서 이 매개변수를 일관되게 사용하지 않아 동작이 일관되지 않았습니다. -
fruit:posix_rename: Windows 클라이언트에 문제가 발생할 수 있기 때문에vfs_fruit모듈의 이 옵션이 제거됩니다. 네트워크 마운트에.DS_Store파일이 생성되지 않도록 하려면 MacOS에서기본값 com.apple.desktopservices DSDontWriteNetworkStores true명령을 사용합니다.
-
Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba가 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
389-DS-base 버전 2.7.0으로 업데이트
389-ds-base 패키지가 버전 2.7.0으로 업데이트되었습니다.
dsctl healthcheck 는 이제 membership 속성에 하위 문자열 인덱스를 생성하는 것에 대해 경고합니다.
멤버십 속성이 포함된 항목은 일반적으로 많은 멤버가 있는 그룹입니다. 값 세트를 변경할 때 단일 멤버 삭제와 같은 사소한 변경에도 하위 문자열 인덱스가 매우 비용이 많이 듭니다. 이제 하위 문자열 인덱스 유형을 추가하면 dsctl healthcheck 는 멤버십 속성에 하위 인덱스의 가능한 높은 비용을 경고하고 다음 오류 메시지를 표시합니다.
DSMOLE0002. 하위 문자열 인덱스가 멤버십 속성에 대해 구성된 경우 대규모 그룹에서 멤버를 제거하는 속도가 느려질 수 있습니다.
Jira:RHEL-81141[1]
특성 고유성 플러그인의 사용자 정의 일치 규칙에서 고유성 특성을 검색합니다.
이번 업데이트를 통해 특성 고유성 플러그인 구성에서 고유성을 적용할 속성에 대해 일치하는 규칙을 지정할 수 있습니다. 예를 들어 정확히 또는 하십시오.
대소문자 에서 특성 구문을 재정의하려면 무시
다음과 같이 플러그인 구성에서 속성 및 일치하는 규칙을 지정합니다.
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
이번 업데이트 이전에는 대소문자가 정확한 구문과 함께 cn 속성을 사용한 경우 대소문자가 비교되는 두 값 간에 일치하는 값을 찾을 수 없었습니다. 이제 일치하는 규칙을 설정하고 케이스를 무시 하도록 할 수 있으며 플러그인에 해당 값이 일치하는 것을 확인할 수 있습니다.
uniqueness-attribute-name: cn:caseIgnoreMatch:
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109034[1]
Cockpit-session-recording rebased to 20-1.el9
Cockpit 웹 인터페이스를 통해 수행되는 사용자 세션을 기록하는 cockpit-session-recording 패키지는 업스트림 버전 20-1.el9를 기반으로 합니다. 패키지가 PatternFly 6 사용자 인터페이스 시스템 설계로 마이그레이션되었습니다.
ACME 서버는 ES256 서명 알고리즘에 대한 지원 추가
이전에는 ACME(Automatic Certificate Management Environment) 서버가 JWK(JSON Web Key) 검증을 위한 ES256 서명 알고리즘을 지원하지 않았습니다. 이러한 지원 부족으로 인해 Caddy 웹 서버와 같은 특정 클라이언트가 인증서를 성공적으로 가져올 수 없었습니다.
이번 업데이트를 통해 JWK 검증을 위한 ES256 서명 알고리즘을 지원하도록 ACME 서버가 향상되었습니다.
결과적으로 서버는 Caddy 웹 서버와 같이 ES256을 사용하는 클라이언트와 상호 작용하여 인증서를 성공적으로 확보하고 보안 HTTPS 통신을 설정할 수 있습니다.
이제 IdM에서 HSM이 완전히 지원됨
HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.
IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IdM 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 툴링을 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.
기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.
다음이 필요합니다.
- 지원되는 HSM.
- HSM PKI(Public-Key Cryptography Standard) #11 라이브러리
- 사용 가능한 슬롯, 토큰 및 토큰 암호입니다.
HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-21376[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}