Red Hat Summit6.13. SSSD
여러 PKCS#11 토큰이 있는 환경의 스마트 카드 인증 개선
SSSD 스마트 카드 인증은 여러 PKCS#11 토큰이 동시에 삽입된 환경에서 인증을 처리하도록 향상되었습니다. 이로 인해 특히 여러 사용자 계정이 필요한 STIG 호환 환경에서 각각 고유한 권한이 있고 종종 별도의 PKI 토큰에 연결됩니다.
이전 버전에서는 SSSD가 사용 가능한 다른 토큰에서 적절한 인증서를 계속 검색하지 않았기 때문에 처음 선택한 토큰에 일치하는 인증서가 포함되어 있지 않은 경우 SSSD가 인증하지 못할 수 있었습니다. 이번 업데이트를 통해 SSSD는 사용자가 성공적으로 인증할 수 있도록 삽입된 모든 PKCS#11 토큰을 검색합니다.
RootDSE 읽기 제어를 위한 새로운 SSSD 옵션 ldap_read_rootdse
이번 업데이트를 통해 SSSD는 새로운 옵션 ldap_read_rootdse 를 제공하여 SSSD가 LDAP 서버에서 루트 디렉터리 서비스 항목(RootDSE)을 읽는 방법을 제어합니다. 기본적으로 SSSD는 사용자가 인증하기 전에 RootDSE 익명성을 읽으려고 합니다. 그러나 이 기본 동작은 LDAP 서버에 대한 모든 익명 바인딩을 일반적으로 제한하는 엄격한 보안 정책과 충돌할 수 있습니다.
이 동작을 관리하기 위해 SSSD가 성공적인 사용자 인증 후에만 RootDSE를 읽도록 지시하도록 ldap_read_rootdse 옵션을 인증하거나 SSSD가 읽기를 시도하지 못하도록 설정하지 않도록 설정할 수 있습니다.
Jira:RHEL-13086[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}