Red Hat Summit6.12. IdM (Identity Management)
ipa-healthcheck 에서 인증서 만료에 대해 경고
이번 업데이트를 통해 ipa-healthcheck 툴에서 만료를 위해 사용자 제공 HTTP, DS 및 PKINIT 인증서를 평가하고 만료일 이전에 28일 전에 경고를 제공합니다. 이로 인해 인증서 만료가 잠재적으로 눈에 띄지 않아 다운타임이 발생할 수 있습니다.
Jira:RHELDOCS-20303[1]
Ansible-freeipa 1.15.1로 업데이트
Red Hat IdM(Identity Management) 환경을 관리하기 위한 모듈과 역할을 제공하는 freeipa.ansible_freeipa RPM 컬렉션은 버전 1.13.2에서 1.15.1로 재기반되었습니다. 업데이트에는 다음과 같은 향상된 기능이 포함되어 있습니다.
-
RPM 컬렉션은 이제 Red Hat AAH(Red Hat Ansible Automation Hub)에서 제공하는
redhat.rhel_idm컬렉션의 네임스페이스 및 이름과 호환됩니다. RPM 컬렉션을 설치한 경우 AAH 역할 및 모듈을 참조하는 플레이북을 실행할 수 있습니다. 내부적으로 RPM 컬렉션의 네임스페이스와 이름이 사용됩니다.
Jira:RHELDOCS-20257[1]
krbLastSuccessfulAuth 가 활성화된 경우 Healthcheck 경고
ipaConfigString 특성에서 krbLastSuccessfulAuth 설정을 활성화하면 많은 사용자가 동시에 인증하는 경우 성능 문제가 발생할 수 있습니다. 따라서 기본적으로 비활성화되어 있습니다. 이번 업데이트를 통해 krbLastSuccessfulAuth 가 활성화된 경우 Healthcheck 에 메시지가 표시되고 가능한 성능 문제에 대한 경고가 표시됩니다.
Jira:RHEL-84771[1]
IdM에서 기존 시스템 호환성에 대해 최대 Linux 최대 UID 제한의 UID 지원
이번 업데이트를 통해 이제 4,294,967,293 또는 2^32-1까지 사용자 및 그룹 ID를 사용할 수 있습니다. 이는 IdM의 최대값이 Linux UID 제한과 일치하며 표준 IdM 범위가 최대 2,147,483,647인 경우 유용할 수 있습니다. 특히 전체 32비트 POSIX ID 공간이 필요한 레거시 시스템과 함께 IdM 배포를 활성화합니다.
표준 배포에서 IdM은 subIDS에 대해 2,147,483,648 - 4,294,836,223 범위를 예약합니다. 2^31에서 2^32-1 UID 범위를 사용하려면 subID 기능을 비활성화해야 하므로 최신 Linux 기능과 충돌합니다.
UID를 최대 2^32-1까지 활성화하려면 다음을 수행합니다.
하위 ID 기능을 비활성화합니다.
ipa config-mod --addattr ipaconfigstring=SubID:Disable
$ ipa config-mod --addattr ipaconfigstring=SubID:DisableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 기존 하위 ID 범위를 제거합니다.
ipa idrange-del <id_range>
$ ipa idrange-del <id_range>Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM 서버에서 내부 DNA 플러그인 구성이 올바르게 제거되었는지 확인합니다.
ipa-server-upgrade
# ipa-server-upgradeCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 2^31 ~ 2^32-1 공간을 포함하는 새 로컬 ID 범위를 추가합니다. IdM이 사용자 및 그룹에 대해 SID를 올바르게 생성할 수 있도록 이 새 범위에 대한 RID 기반을 정의해야 합니다.
하위 ID가 아직 할당되지 않은 경우에만 하위 ID 기능을 비활성화할 수 있습니다.
Jira:RHEL-67686[1]
Samba 버전 4.22.4로 업데이트
samba 패키지가 업스트림 버전 4.22.4로 업데이트되었습니다. 이 버전은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
- Samba는 서버 메시지 블록 버전 3(SMB3) 디렉터리 리스를 지원합니다. 이번 개선된 기능을 통해 클라이언트는 디렉터리 목록을 캐시하여 네트워크 트래픽을 줄이고 성능을 향상시킬 수 있습니다.
-
Samba는 포트 389에서 기존 UDP 방법 대신 TCP 기반 LDAP 또는 LDAPS를 사용하여 DC(Domain Controller) 정보를 쿼리하는 기능을 지원합니다. 이번 개선된 기능을 통해 방화벽 제한 환경과의 호환성이 향상되었습니다.
클라이언트 netlogon ping 프로토콜 매개변수(기본값:을 구성할 수 있습니다.CLADP)를 사용하여 프로토콜 다음 구성 매개변수가 제거됩니다.
-
nmbd_proxy_logon: 이 설정은 Samba가 고유한 NetBIOS TCP/IP(NBT) 서버를 도입하기 전에 NetLogon 인증 요청을 PDC(Windows NT4 기본 도메인 컨트롤러)로 전달하는 데 사용되었습니다. -
C
LDAP 포트: Connectionless Lightweight Directory Access Protocol(CLDAP)은 항상 UDP 포트 389를 사용합니다. 또한 Samba 코드에서 이 매개변수를 일관되게 사용하지 않아 동작이 일관되지 않았습니다. -
fruit:posix_rename: Windows 클라이언트에 문제가 발생할 수 있기 때문에vfs_fruit모듈의 이 옵션이 제거됩니다. 네트워크 마운트에.DS_Store파일이 생성되지 않도록 하려면 MacOS에서기본값 com.apple.desktopservices DSDontWriteNetworkStores true명령을 사용합니다.
-
Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba가 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
Identity Management 업그레이드 도우미
Identity Management Upgrade Helper는 IdM 환경을 최신 RHEL 버전으로의 업그레이드를 간소화하는 새로운 애플리케이션입니다. 업그레이드 경로와 관련된 단계별 지침을 제공합니다. 결과적으로 앱을 사용하여 배포를 준비하고 새 복제본을 설정하며 명확한 지침으로 이전 서버를 해제할 수 있습니다.
이 앱을 사용하려면 Red Hat 고객 포털의 Identity Management Upgrade Helper 를 참조하십시오.
Jira:RHELDOCS-21103[1]
이제 dsconf 또는 웹 콘솔을 사용하여 특성 고유 확인에서 하위 트리를 제외할 수 있습니다.
이번 업데이트를 통해 dsconf 유틸리티 및 웹 콘솔을 통해 직접 Attribute Uniqueness 플러그인에 대해 uniqueness-exclude-subtrees 매개변수를 구성할 수 있습니다. 이번 업데이트 이전에는 ldapmodify 유틸리티를 사용하여 uniqueness-exclude-subtrees 만 설정되었습니다.
dsconf 플러그인 attr-uniq set 명령에 옵션을 사용하여 플러그인에서 속성 값의 고유성 확인을 건너뛰는 DN(고유 이름)을 설정합니다. 또는 웹 콘솔의 Plugins 메뉴로 이동하여 Attribute Uniqueness 플러그인 구성을 추가하거나 편집하고 Excluded Subtrees 필드를 설정합니다.
--exclude- subtree
389-DS-base 버전 3.1.3으로 업데이트
389-ds-base 패키지가 버전 3.1.3으로 업데이트되었습니다. 이 버전은 다양한 버그 수정 및 개선 사항을 제공합니다.
- 세션 추적 제어 인터넷 초안 지원
-
PBKDF2-* 플러그인의
nsslapd-pwdPBKDF2NumIterations구성 속성 - 오류 로그에 대한 로그 버퍼링
-
암호 저장 체계로
CRYPT-YESCRYPT지원 - 액세스 및 오류 로그를 위한 JSON 형식
다양한
dsidm버그 수정:-
인수와 함께.dsidm이 더 이상 실패하지 않음은 문자열이거나 숫자 오류여야 합니다 -
dsidm get_dn은 더 이상 조직 단위, 서비스 및 POSIX 그룹에 실패하지 않습니다. -
dsidm uniquegroup 멤버는 고유한 그룹 멤버를 올바르게 표시합니다. -
dsidm 역할 rename-by-dn이 역할 이름을 올바르게 바꿉니다. -
dsidm -j 계정 get-by-dn및dsidm -j 역할 get-by-dn은 JSON 형식으로 출력을 반환합니다. -
dsidm role subtree-status는 하위 트리 상태를 올바르게 표시합니다. -
dsidm 역할 create-nested및dsidm 역할 create-filteredcreate nested 및 filtered roles. -
dsidm 역할 삭제는 역할을 올바르게 삭제합니다. -
dsidm 사용자 이름이 사용자 이름을 올바르게 바꿉니다. -
dsidm 계정의 잠금 해제는 비활성 제한에 도달한 사용자 계정을 올바르게 활성화합니다.
-
특성 고유성 플러그인의 사용자 정의 일치 규칙에서 고유성 특성을 검색합니다.
이번 업데이트를 통해 특성 고유성 플러그인 구성에서 고유성을 적용할 속성에 대해 일치하는 규칙을 지정할 수 있습니다. 예를 들어 정확히 또는 하십시오.
대소문자 에서 특성 구문을 재정의하려면 무시
다음과 같이 플러그인 구성에서 속성 및 일치하는 규칙을 지정합니다.
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
이번 업데이트 이전에는 대소문자가 정확한 구문과 함께 cn 속성을 사용한 경우 대소문자가 비교되는 두 값 간에 일치하는 값을 찾을 수 없었습니다. 이제 일치하는 규칙을 설정하고 케이스를 무시 하도록 할 수 있으며 플러그인에 해당 값이 일치하는 것을 확인할 수 있습니다.
uniqueness-attribute-name: cn:caseIgnoreMatch:
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109018[1]
JSON 형식은 389-ds-base로 액세스 및 오류 로그에 사용할 수 있습니다.
이번 업데이트를 통해 다음 명령을 사용하여 액세스 및 오류 로그 파일에 대한 JSON 형식을 구성할 수 있습니다.
dsconf <instance_name> logging access set log-format json dsconf <instance_name> logging error set log-format json
# dsconf <instance_name> logging access set log-format json
# dsconf <instance_name> logging error set log-format json
이 명령은 nsslapd-accesslog-log-format 또는 nsslapd-errorlog-json-format 구성 속성을 json 으로 설정합니다. 결과적으로 표준 구문 분석 툴로 액세스 및 오류 로깅을 사용할 수 있게 됩니다.
형식 설정을 변경하면 Directory Server가 현재 로그 파일을 교체합니다.
dsidm 유틸리티에 새로운 목록 --full-dn 옵션을 사용할 수 있습니다.
이번 업데이트를 통해 --full-dn 옵션을 사용하여 동일한 유형의 항목의 전체 고유 이름(DN) 목록을 가져올 수 있습니다. 예를 들어 역할 DN을 보려면 다음 명령을 사용합니다.
dsidm <instance_name> -b dc=example,dc=com role list --full-dn
# dsidm <instance_name> -b dc=example,dc=com role list --full-dn
이번 업데이트 이전에는 기존 목록 옵션에 RDN(상대적으로 고유 이름) 값만 표시하므로 dsidm 툴을 사용하여 이러한 항목의 DN을 확인할 수 있는 옵션이 없었습니다.
389-DS-base 로그 파일에 바인딩 또는 수정에 대한 세션 식별자가 포함되어 있습니다.
이 향상된 기능을 통해 복제 플러그인은 세션 추적 기능을 사용하여 389-ds-base 의 서버 작업과 클라이언트 활동을 상관시킵니다.
클라이언트 측에서 복제 디버그 수준이 활성화되면 클라이언트 오류 로그에 다음과 같이 메시지가 포함됩니다.
[time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - "EWBpte8J8Wx 2" - agmt="cn=004" (localhost:39004): State: wait_for_changes -> ready_to_acquire_replica
[time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - "EWBpte8J8Wx 2" - agmt="cn=004" (localhost:39004): State: wait_for_changes -> ready_to_acquire_replica서버 측에서 디버그 로그 수준이 없으면 액세스 로그에 다음과 같은 메시지가 포함됩니다.
[time_stamp] conn=2 op=7 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=\*)" attrs="distinguishedName" [time_stamp]] conn=2 op=7 RESULT err=0 tag=101 nentries=1 wtime=0.000189515 optime=0.000171470 etime=0.000358345 notes=U,P details="Partially Unindexed Filter,Paged Search" pr_idx=0 pr_cookie=-1 sid="EWBpte8J8Wx 2"
[time_stamp] conn=2 op=7 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=\*)" attrs="distinguishedName"
[time_stamp]] conn=2 op=7 RESULT err=0 tag=101 nentries=1 wtime=0.000189515 optime=0.000171470 etime=0.000358345 notes=U,P details="Partially Unindexed Filter,Paged Search" pr_idx=0 pr_cookie=-1 sid="EWBpte8J8Wx 2"결과적으로 연결 또는 작업의 출처를 보다 효과적으로 추적할 수 있습니다. 이를 통해 연결 또는 작업 배포에서 전반적인 효율성과 문제 해결 기능이 향상됩니다.
Jira:RHEL-31959[1]
ACME 서버는 ES256 서명 알고리즘에 대한 지원 추가
이전에는 ACME(Automatic Certificate Management Environment) 서버가 JWK(JSON Web Key) 검증을 위한 ES256 서명 알고리즘을 지원하지 않았습니다. 이러한 지원 부족으로 인해 Caddy 웹 서버와 같은 특정 클라이언트가 인증서를 성공적으로 가져올 수 없었습니다.
이번 업데이트를 통해 JWK 검증을 위한 ES256 서명 알고리즘을 지원하도록 ACME 서버가 향상되었습니다.
결과적으로 서버는 Caddy 웹 서버와 같이 ES256을 사용하는 클라이언트와 상호 작용하여 인증서를 성공적으로 확보하고 보안 HTTPS 통신을 설정할 수 있습니다.
Jira:RHEL-98721[1]
이제 IdM에서 HSM이 완전히 지원됨
HSM(하드웨어 보안 모듈)은 이제 IdM(Identity Management)에서 완전히 지원됩니다. IdM CA(Cerificate Authority) 및 KRA(Key Recovery Authority)에 대한 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.
IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IdM 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 툴링을 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.
기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.
다음이 필요합니다.
- 지원되는 HSM.
- HSM PKI(Public-Key Cryptography Standard) #11 라이브러리
- 사용 가능한 슬롯, 토큰 및 토큰 암호입니다.
HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-17465[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}