11.10. IdM (Identity Management)

ipa idrange-add 명령은 모든 IdM 서버에서 Directory Server를 다시 시작해야 한다는 경고

이전에는 ipa idrange-add 명령에서 새 범위를 생성한 후 모든 IdM 서버에서 Directory Server(DS) 서비스를 다시 시작해야 한다고 경고하지 않았습니다. 결과적으로 관리자는 DS 서비스를 다시 시작하지 않고 새 범위에 속하는 UID 또는 GID를 사용하여 새 사용자 또는 그룹을 생성하는 경우가 있었습니다. 또한 새 사용자 또는 그룹에 SID가 할당되지 않았습니다. 이번 업데이트를 통해 모든 IdM 서버에서 DS를 다시 시작해야 한다는 경고가 명령 출력에 추가됩니다.

Jira:RHELDOCS-18201^[1]

ipa-replica-manage 명령은 강제 복제 중에 nsslapd-ignore-time-skew 설정을 더 이상 재설정하지 않음

이전 버전에서는 ipa-replica-manage force-sync 명령은 구성된 값과 관계없이 nsslapd-ignore-time-skew 설정을 off 로 재설정했습니다. 이번 업데이트를 통해 강제 복제 중에 nsslapd-ignore-time-skew 설정을 더 이상 덮어쓰지 않습니다.

Jira:RHEL-4879

certmonger 가 숨겨진 복제본에서 KDC 인증서를 올바르게 갱신

이전에는 인증서가 만료될 때 certmonger 가 숨겨진 복제본에서 KDC 인증서를 갱신하지 못했습니다. 이는 갱신 프로세스가 숨겨진 복제본이 활성 KDC로 간주되기 때문에 발생했습니다. 이번 업데이트를 통해 숨겨진 복제본은 활성 KDC로 처리되고 certmonger 는 이러한 서버에서 KDC 인증서를 성공적으로 갱신합니다.

Jira:RHEL-46607^[1]

만료된 토큰을 사용하여 2 단계 인증을 우회하는 것은 더 이상 불가능합니다.

이전에는 특정 최종 평가 기간으로 OTP 토큰을 생성하여 이중 인증을 우회할 수 있었습니다.

2 단계 인증이 적용되는 경우 OTP 토큰이 없는 사용자는 암호를 사용하여 한 번에 로그인하고 OTP 토큰을 구성할 수 있습니다. 결과적으로 인증을 위해 암호와 OTP 토큰을 모두 사용해야 합니다. 그러나 사용자가 만료된 최종 평가 날짜를 사용하여 OTP 토큰을 생성한 경우 IdM은 2 단계 인증을 효과적으로 우회하여 암호 전용 인증으로 잘못 대체되었습니다. 이는 IdM이 존재하지 않는 OTP 토큰과 만료된 OTP 토큰을 구분하지 않기 때문입니다.

이번 업데이트를 통해 IdM은 이제 이러한 시나리오를 올바르게 구별합니다. 결과적으로 2 단계 인증이 올바르게 적용되어 이러한 우회가 방지됩니다.

Jira:RHEL-63325^[1]

이제 계정 정책 플러그인에서 복제 토폴로지 업데이트에 적절한 플래그를 사용합니다.

이번 업데이트 이전에는 계정 정책 플러그인에서 업데이트에 적절한 플래그를 사용하지 않았습니다. 결과적으로 복제 토폴로지에서 계정 정책 플러그인이 로그인 기록을 업데이트했지만 이 업데이트에서는 다음 오류 메시지를 로깅하는 소비자 서버에서 실패했습니다.

{{ERR - acct_update_login_history - Modify error 10 on entry
}}

{{ERR - acct_update_login_history - Modify error 10 on entry
}}

Copy to Clipboard

Toggle word wrap

이번 업데이트를 통해 내부 업데이트가 성공하고 오류가 기록되지 않습니다.

Jira:RHEL-74164

TLS 1.3을 사용하여 FIPS 모드에서 실행되는 LDAP 서버에 연결할 수 있습니다.

이번 업데이트 이전에는 FIPS 모드에서 LDAP 서버에 연결할 때 TLS 1.3을 명시적으로 설정하려고 하면 사용된 TLS 버전은 여전히 1.2로 유지되었습니다. 결과적으로 TLS 1.3을 사용하여 LDAP 서버에 연결을 시도하지 못했습니다. 이번 업데이트를 통해 FIPS 모드에서 TLS 버전의 상한이 1.3으로 변경되었으며 TLS 1.3을 사용하여 LDAP 서버에 연결하려고 하면 더 이상 실패하지 않습니다.

Jira:RHEL-79498^[1]

호출된 결과가 있는 경쟁 조건 검색에서 더 이상 T3 오류 코드와의 연결을 종료하지 않음

이번 업데이트 이전에는 연결의 페이지 지정된 결과 데이터에 시간 초과 이벤트를 확인할 때 Directory Server에서 적절한 스레드 보호를 사용하지 않았습니다. 그 결과 페이지된 결과 시간 초과 값이 예기치 않게 변경되어 새 작업이 도착했을 때 잘못된 시간 초과가 트리거되었습니다. 이로 인해 시간 초과 오류가 발생하여 다음 T3 오류 코드로 연결이 닫혔습니다.

페이지가 지정된 결과 검색에 대한 지정된 시간 제한이 초과되었기 때문에 서버가 연결을 닫았습니다.

이번 업데이트를 통해 적절한 스레드 보호가 사용되고 페이징된 결과 검색이 더 이상 T3 오류 코드로 연결을 종료하지 않습니다.

Jira:RHEL-76020^[1]

LDAPSearch 는 이제 NETWORK_TIMEOUT 설정을 예상대로 유지합니다.

이번 업데이트 이전에는 서버에 연결할 수 없는 경우 ldapsearch 명령에서 시간 초과를 무시했으며 결과적으로 시간 초과 대신 검색이 무기한 중단되었습니다. 이번 업데이트를 통해 연결 재시도 및 소켓 옵션을 조정하여 TLS 처리의 논리 오류가 수정되었습니다.

결과적으로 ldapsearch 명령은 더 이상 NETWORK_TIMEOUT 설정을 무시하고 시간 초과에 도달하면 다음 오류를 반환합니다.

  `ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.

  `ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`.

Copy to Clipboard

Toggle word wrap

Jira:RHEL-68773

리소스를 확보하려고 할 때 OpenLDAP 라이브러리가 더 이상 실패하지 않음

이번 업데이트 이전에는 애플리케이션이 직접 또는 atexit() 함수를 통해 OPENSSL_cleanup() 함수를 호출하여 애플리케이션이 이러한 리소스를 이미 정리한 경우 OpenLDAP 라이브러리에서 SSL_CTX_free() 함수를 사용하여 메모리를 해제하려고 했습니다. 결과적으로 잘못된 SSL_CTX_free() 호출이 이미 정리된 SSL 컨텍스트 리소스를 해제하려고 할 때 사용자에게 실패 또는 정의되지 않은 동작이 발생했습니다.

이번 업데이트를 통해 OpenLDAP의 종료자에서 SSL 컨텍스트 정리를 건너뛰기 위해 안전한 정리 기능이 추가되었습니다. 결과적으로 SSL 컨텍스트가 명시적으로 해제되지 않은 경우 유출되어 안정적인 애플리케이션 종료가 보장됩니다.

Jira:RHEL-68424^[1]

RDN 항목에 접미사 DN과 동일한 값이 있는 경우 다시 인덱싱되지 않음

이번 업데이트 이전에는 항목의 상대 고유 이름(RDN)에 디렉터리의 접미사 고유 이름(DN)과 동일한 값이 있는 경우 항목 인덱스가 손상되었습니다. 결과적으로 Directory Server는 느린 검색 요청을 수행하고 잘못된 결과를 가져오고 오류 로그에 경보 메시지를 쓸 수 있었습니다.

이번 업데이트를 통해 다시 인덱싱이 예상대로 작동합니다.

Jira:RHEL-69819^[1]

11.10. IdM (Identity Management)

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links