6.15. IdM (Identity Management)

RHEL 10에서는 python-jwcrypto 버전 1.5.6을 제공합니다.

python-jwcrypto 패키지가 버전 1.5.6으로 업데이트되었습니다. 이 버전에는 압축 비율이 높은 악성 JWE 토큰을 전달하여 공격자가 서비스 거부 공격을 일으킬 수 있는 문제에 대한 보안 수정 사항이 포함되어 있습니다.

Jira:RHELDOCS-20100^[1]

RHEL 10은 ansible-freeipa 패키지 버전 1.14.5를 제공합니다.

ansible-freeipa 패키지가 버전 1.14.5로 업데이트되었습니다. 주요 개선 사항 및 버그 수정은 다음과 같습니다.

module_defaults 를 사용하여 여러 ansible-freeipa 작업의 변수를 정의할 수 있습니다.
freeipa.ansible_freeipa 컬렉션은 ansible-freeipa 모듈 사용을 간소화하는 module_defaults 작업 그룹을 제공합니다. module_defaults 를 사용하면 플레이북에서 사용되는 컬렉션의 모든 모듈에 적용할 기본값을 설정할 수 있습니다. 이렇게 하려면 freeipa.ansible_freeipa.modules 라는 action_group 을 사용하십시오. 예를 들면 다음과 같습니다.
```
- name: Test
   hosts: localhost
   module_defaults:
     group/freeipa.ansible_freeipa.modules:
       ipaadmin_password: Secret123
   tasks:
…
```
```
- name: Test
   hosts: localhost
   module_defaults:
     group/freeipa.ansible_freeipa.modules:
       ipaadmin_password: Secret123
   tasks:
…
```
Copy to Clipboard Toggle word wrap
결과적으로 플레이북이 더 간결해집니다.
이제 단일 Ansible 작업에서 여러 IdM sudo 규칙을 관리할 수 있습니다.
ansible-freeipa 에서 이 향상된 기능을 사용하면 단일 Ansible 작업을 사용하여 여러 IdM(Identity Management) sudo 규칙을 추가, 수정, 삭제할 수 있습니다. 이렇게 하려면 ipasudorule 모듈의 sudorules 옵션을 사용합니다. 결과적으로 sudo 규칙을 더 쉽게 정의하고 더 효율적으로 실행할 수 있습니다.
sudo rules 옵션을 사용하여 특정 sudo 규칙에 적용되는 여러 sudo 규칙 매개변수를 지정할 수 있습니다. 이 sudo 규칙은 sudorules 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다.
ipagroup 모듈을 사용하여 외부 멤버 제거가 올바르게 작동합니다.
이전에는 ansible-freeipa ipagroup 모듈을 externalmember 매개변수와 함께 사용하여 IdM 그룹에서 외부 멤버가 없는지 확인하려고 하면 Ansible에서 작업 결과를 changed 로 표시했지만 그룹에서 멤버가 제거되지 않았습니다. 이번 수정을 통해 externalmember 와 함께 ipagroup 모듈을 올바르게 사용하면 IdM 그룹에서 외부 멤버가 없는지 확인합니다. 또한 이 수정을 통해 192.0.2.\name 또는 name@domain을 사용하여 AD 사용자를 식별할 수 있습니다.

Jira:RHEL-67567

IdM ID 범위 불일치를 관리하는 새 툴

이번 업데이트를 통해 IdM(Identity Management)은 ipa-idrange-fix 툴을 제공합니다. ipa-idrange-fix 툴을 사용하여 기존 IdM ID 범위를 분석하고, 이러한 범위를 벗어나는 사용자와 그룹을 식별하고, 이를 포함할 새로운 ipa-local 범위를 생성할 것을 제안할 수 있습니다.

ipa-idrange-fix 툴은 다음을 수행합니다.

LDAP에서 기존 범위를 읽고 분석합니다.
ipa-local 범위를 벗어나는 사용자 및 그룹을 검색합니다.
식별된 사용자 및 그룹을 포괄하기 위해 새로운 ipa-local 범위를 제안합니다.
사용자에게 제안된 변경 사항을 적용하도록 요청합니다.

기본적으로 이 툴은 시스템 계정과의 충돌을 방지하기 위해 1000 미만의 ID를 제외합니다. 권장되는 변경 사항을 적용하기 전에 전체 시스템 백업을 생성하는 것이 좋습니다.

자세한 내용은 ipa-idrange-fix(1) 매뉴얼 페이지를 참조하십시오.

Jira:RHEL-56917^[1]

만료된 인증서 자동 삭제가 기본적으로 활성화됨

이번 업데이트를 통해 이제 새 복제본의 IdM(Identity Management)에서 만료된 인증서를 자동으로 제거할 수 있습니다. 이에 대한 전제 조건은 RSNv3을 사용하여 인증서에 대한 임의의 일련 번호 생성이며 이제 기본적으로 활성화됩니다.

결과적으로 인증서는 이제 임의의 일련 번호로 생성되며 만료 후 기본 보존 기간이 30일 후에 자동으로 제거됩니다.

Jira:RHEL-57674

RHEL 10은 python-pyasn1 버전 0.6.1을 제공합니다.

python-pyasn1 패키지가 버전 0.6.1로 업데이트되었습니다. 이 업데이트에는 다음을 포함한 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.

Python 3.13 지원
Python 2.7, 3.6, 3.7 지원 삭제
오류 처리 및 일관성 개선
tagMap 및 typeMap 별칭의 런타임 사용 중단
이전에 누락된 RELATIVE-OID 구조 지원

Jira:RHEL-67667

ldap_id_use_start_tls 옵션이 기본적으로 활성화되어 있습니다.

보안을 개선하기 위해 ldap_id_use_start_tls 의 기본값이 false 에서 true 로 변경되었습니다. ID 조회에 TLS 없이 ldap:// 를 사용하는 경우 공격 벡터가 발생할 수 있습니다. 특히 MITTM(man-in-the-middle) 공격으로 공격자가 LDAP 검색에서 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

암호화되지 않은 통신이 안전하지 않으므로 기본 ldap_id_use_start_tls 옵션이 true 로 설정됩니다.

Jira:RHELDOCS-19185^[1]

RHEL 10은 certmonger 버전 Cryostat9.20을 제공합니다.

certmonger 패키지가 버전 Cryostat9.20으로 업데이트되었습니다. 이 업데이트에는 다양한 버그 수정 및 개선 사항이 포함되어 있습니다.

내부 토큰의 새 인증서 처리 강화 및 갱신 시 제거 프로세스 개선.
CKM_RSA_X_509 암호화 메커니즘에 대한 토큰 제한 제거
getcert add-scep-ca, --ca-cert , --ra-cert 옵션에 대한 문서를 수정했습니다.
표준 이름과 일치하도록 D-Bus 서비스 및 구성 파일의 이름을 변경합니다.
getcert-resubmit 도움말 페이지에 누락된 .TP 태그가 추가되었습니다.
SPDX 라이센스 형식으로 마이그레이션했습니다.
getcert list 출력에 소유자 및 권한 정보가 포함되어 있습니다.
cm_certread_n_parse 함수에서 NSS 데이터베이스 요구 사항을 삭제했습니다.
중국어 간체, 조지아 및 러시아어용 Webplate를 사용하여 번역을 추가했습니다.

Jira:RHEL-40922^[1]

RHEL 10은 버전 1.5.6에서 python-jwcrypto 를 제공합니다.

Jira:RHELDOCS-19191^[1]

Kerberos는 이제 Elliptic Curve Diffie-Hellman 키 계약 알고리즘 지원

RFC5349에 정의된 PKINIT의 ECDH(Elliptic Curve Diffie-Hellman) 주요 계약 알고리즘이 지원됩니다. 이번 업데이트를 통해 krb5.conf'file의 pkinit_dh_min_bits 설정을 이제 기본적으로 ECDH를 사용하도록 'P-256 ,P-384 또는 P-521 로 구성할 수 있습니다.

Jira:RHEL-71881^[1]

RHEL 10은 389-ds-base 버전 3.0.6을 제공합니다.

389-ds-base 패키지가 버전 3.0.6으로 업데이트되었습니다. 이 업데이트에는 다음을 포함한 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.

오류 로그에 대한 로그 버퍼링
JSON 형식으로 감사 로그를 작성하는 옵션
그룹이 업데이트될 때 그룹 멤버를 지연하는 옵션
여러 PBKDF2 반복을 구성하는 옵션
logconv.py 로그 Analyzer 툴

Jira:RHEL-67196

389-DS-base 는 이제 LMDB를 완전히 지원

이전에 389-ds-base 패키지에서 기술 프리뷰로 사용 가능한 Lightning Memory-Mapped Database(LMDB)가 이제 완전히 지원됩니다.

주요 이점은 다음과 같습니다.

LMDB는 읽기 작업에 매우 최적화되어 있습니다.
LMDB는 메모리 할당 및 메모리 간 복사본을 방지합니다.
LMDB에는 최소한의 구성이 필요합니다.
LMDB는 교착 상태가 없는 다중 스레드 및 다중 프로세스 환경을 지원합니다.
독자는 작성자를 차단하지 않으며 그 반대도 마찬가지입니다.
LMDB에는 트랜잭션 로그가 필요하지 않습니다.

RHEL 10부터 모든 새 Directory Server 인스턴스는 LMDB만 데이터베이스 유형으로 사용하고 BDB를 사용한 표준 설치는 더 이상 사용할 수 없습니다.

기존 BDB 인스턴스를 LBDM으로 마이그레이션하려면 새 LMDB 인스턴스를 생성하고 LDIF 파일 또는 복제 방법을 사용하여 데이터베이스 콘텐츠를 가져옵니다.

디렉터리 서버는 LMDB 설정을 cn=mdb,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config 항목 아래에 저장합니다.

nsslapd-mdb-max-size 는 데이터베이스 최대 크기를 바이트 단위로 설정합니다.
중요: nsslapd-mdb-max-size 가 의도한 모든 데이터를 저장할 수 있을 만큼 충분히 큰지 확인합니다. 그러나 데이터베이스 파일이 메모리 매핑되므로 성능에 영향을 주기에는 매개 변수 값이 너무 길지 않아야 합니다.
nsslapd-mdb-max-readers 는 동시에 열 수 있는 최대 읽기 작업 수를 설정합니다. Directory Server는 이 설정을 자동으로 조정합니다.
nsslapd-mdb-max-dbs 는 메모리 매핑된 데이터베이스 파일에 포함될 수 있는 최대 명명된 데이터베이스 인스턴스 수를 설정합니다.

새로운 LMDB 설정과 함께 nsslapd-db-home-directory 데이터베이스 구성 매개변수를 계속 사용할 수 있습니다.

Jira:RHEL-67595

RHEL 10은 openldap 버전 2.6.8을 제공합니다.

openldap 패키지가 2.6.8 버전으로 업데이트되었습니다. 이 업데이트에는 다음을 포함한 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.

TLS 연결 처리가 향상되었습니다.
Kerberos SASL 은 Active Directory 인증서가 ECC(Elliptic Curve Cryptography) 인증서이고 SASL_CBINDING 이 tls-endpoint 로 설정된 경우에도 STARTTLS 에서 작동합니다.

Jira:RHEL-71052

Directory Server에서 오류, 감사 및 감사 실패 로그를 버퍼링 제공

이번 업데이트 이전에는 액세스 및 보안 로그만 로그 버퍼링을했습니다. 이번 업데이트를 통해 Directory Server는 오류, 감사 및 감사 실패 로그를 버퍼링합니다. 다음 설정을 사용하여 로그 버퍼링을 구성합니다.

오류 로그에 대한 nsslapd-errorlog-logbuffering 기본적으로 비활성되어 있습니다.
감사 및 감사 실패 로그에 대한 nsslapd-auditlog-logbuffering. 기본적으로 활성화되어 있습니다.

자세한 내용은 Red Hat Directory Server 구성 및 스키마 참조 문서의 nsslapd-errorlog-logbuffering 및 nsslapd-auditlog-logbuffering 을 참조하십시오.

Jira:RHEL-1681

이제 PBKDF2-* 암호 스토리지 스키마 플러그인 항목에서 해시 반복 값을 구성할 수 있습니다.

이번 업데이트 이전에는 Password Storage Schemes 플러그인의 모든 PBKDF2-* 항목에 대해 하드 코딩(10000)이 표시되었습니다. 이번 업데이트를 통해 이제 기본적으로 새 nsslapd-pwdpbkdf2numiterations 특성을 사용하여 해시 반복 값을 구성합니다.

명령줄 또는 웹 콘솔을 사용하여 nsslapd-pwdpbkdf2numiterations 를 구성할 수 있습니다.

예를 들어 값을 150000 으로 설정하고 다른 암호 스토리지 체계의 현재 값을 보려면 다음을 실행합니다.

dsconf <instance_name> plugin pwstorage-scheme pbkdf2-sha512 set-num-iterations 150000
dsconf <instance_name> plugin pwstorage-scheme pbkdf2-sha512 get-num-iterations

# dsconf <instance_name> plugin pwstorage-scheme pbkdf2-sha512 set-num-iterations 150000
# dsconf <instance_name> plugin pwstorage-scheme pbkdf2-sha512 get-num-iterations

Copy to Clipboard

Toggle word wrap

웹 콘솔에서 메뉴:[데이터베이스 암호 정책 글로벌 정책]으로 이동하여 해시 반복을 구성합니다.

기본값을 변경하기 전에 다음을 고려하십시오.

이전 암호에는 암호가 업데이트될 때까지 이전 해시 반복 설정이 있습니다.
반복 수가 증가하면 BIND 작업 성능에 영향을 줄 수 있습니다.

Jira:RHEL-42485

dsctl healthcheck 는 이제 membership 속성에 하위 문자열 인덱스를 생성하는 것에 대해 경고합니다.

멤버십 속성이 포함된 항목은 일반적으로 많은 멤버가 있는 그룹입니다. 값 세트를 변경할 때 단일 멤버 삭제와 같은 사소한 변경에도 하위 문자열 인덱스가 매우 비용이 많이 듭니다. 이제 하위 문자열 인덱스 유형을 추가하면 dsctl healthcheck 는 멤버십 속성에 하위 인덱스의 가능한 높은 비용을 경고하고 다음 오류 메시지를 표시합니다.

DSMOLE0002. 하위 문자열 인덱스가 멤버십 속성에 대해 구성된 경우 대규모 그룹에서 멤버를 제거하는 속도가 느려질 수 있습니다.

Jira:RHEL-76841

gssproxy systemd 서비스의 서비스 유형이 변경됨

gssproxy systemd 서비스 유형이 "포킹"에서 "notify"로 변경되었습니다. 이번 업데이트에서는 PIDFile에 대한 종속성을 제거합니다. 이 종속성은 bootc 와의 호환성을 개선하는 데 필요합니다. 이번 업데이트를 통해 gssproxy 서비스는 "notify" 유형을 사용하여 보다 안정적인 서비스 상태 모니터링을 제공합니다.

Jira:RHEL-71651

ACME가 IdM에서 완전히 지원됨

ACME(Automated Certificate Management Environment) 서비스가 IdM(Identity Management)에서 완전하게 지원됩니다. ACME는 자동 식별자 검증 및 인증서 발행을 위한 프로토콜입니다. 이는 인증서 수명을 줄이고 인증서 라이프사이클 관리에서 수동 프로세스를 방지하여 보안을 개선하는 것입니다.

RHEL에서 ACME 서비스는 RHCS(Red Hat Certificate System) PKI ACME 응답자를 사용합니다. RHCS ACME 하위 시스템은 IdM 배포의 모든 CA(인증 기관) 서버에 자동으로 배포되지만 관리자가 이를 활성화할 때까지 서비스 요청은 수행하지 않습니다. RHCS는 ACME 인증서를 발행할 때 acmeIPAServerCert 프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. ACME 서비스를 활성화하거나 비활성화하면 전체 IdM 배포에 영향을 미칩니다.

Jira:RHELDOCS-19405^[1]

이제 IdM에서 HSM이 완전히 지원됨

HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.

IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IdM 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 도구를 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.

참고

기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.

다음이 필요합니다.

지원되는 HSM.
HSM PKI(Public-Key Cryptography Standard) #11 라이브러리
사용 가능한 슬롯, 토큰 및 토큰 암호입니다.

HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra

Copy to Clipboard

Toggle word wrap

Jira:RHELDOCS-17465^[1]

6.15. IdM (Identity Management)

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links