5장. 인증 및 상호 운용성

Red Hat Enterprise Linux 6.3에 도입된 다양한 기능이 Red Hat Enterprise Linux 6.4에서 완전하게 지원됩니다. 특히 다음 내용에 유의하십시오.

Kerberos 버전 1.10은 새로운 캐시 스토리지 유형인 DIR: DIR: Kerberos가 Kerberos 인식 리소스와 협상할 때 KDC(Key Distribution Center)에 대해 TGT(TGT) 티켓(TGT)을 동시에 유지 관리할 수 있도록 합니다. Red Hat Enterprise Linux 6.4에서 SSSD는 SSSD를 통해 로그인하는 사용자를 위해 DIR: 캐시를 선택할 수 있도록 개선되었습니다. 이 기능은 기술 프리뷰로 도입되었습니다.

Red Hat Enterprise Linux 6.4에서 ipa group-add-member 명령을 사용하면 Active Directory 기반 신뢰할 수 있는 도메인의 멤버를 Identity Management에서 외부로 표시된 그룹에 추가할 수 있습니다. 이러한 멤버는 도메인 또는 UPN 기반 구문(예: AD\UserName 또는 AD\GroupName, User@AD.Domain )을 사용하여 이름으로 지정할 수 있습니다. 이 양식에 지정하면 멤버는 Active Directory 기반 신뢰할 수 있는 도메인의 글로벌 카탈로그에 대해 해결되어 SID(보안 식별자) 값을 가져옵니다.

또는 SID 값을 직접 지정할 수 있습니다.Alternatively, an SID value could be specified directly. 이 경우 ipa group-add-member 명령은 SID 값의 도메인 부분이 신뢰할 수 있는 Active Directory 도메인 중 하나인지만 확인합니다. 도메인 내에서 SID의 유효성을 확인하기 위한 시도는 수행되지 않습니다.

사용자 또는 그룹 이름 구문을 사용하여 SID 값을 직접 제공하는 대신 외부 멤버를 지정하는 것이 좋습니다.

새 인증 기관의 기본 유효 기간은 10년입니다. CA는 하위 시스템(OCSP, 감사 로그 등)에 대한 여러 인증서를 발행합니다. 하위 시스템 인증서는 일반적으로 2년 동안 유효합니다. 인증서가 만료되면 CA가 시작되지 않거나 제대로 작동하지 않습니다. 따라서 Red Hat Enterprise Linux 6.4에서 Identity Management 서버는 하위 시스템 인증서를 자동으로 갱신할 수 있습니다. 하위 시스템 인증서는 certmonger 에서 추적하며 인증서가 만료되기 전에 자동으로 갱신을 시도합니다.

Red Hat Enterprise Linux 6.4에서 OpenLDAP는 ID 관리 클라이언트 설치 중에 기본 LDAP URI, 기본 DN 및 TLS 인증서로 자동으로 구성됩니다. 이를 통해 Identity Management Directory Server에 LDAP 검색을 수행할 때 사용자 환경이 향상됩니다.

NSS(Network Security Services)에 대한 Python 바인딩을 제공하는 python-nss 패키지는 PKCS #12 지원을 추가하도록 업데이트되었습니다.

Red Hat Enterprise Linux 6.4의 LDAP에는 영역과 리소스 레코드 모두에 대한 지속적인 검색을 지원합니다. 영구 검색을 사용하면 LDAP 데이터베이스의 모든 변경 사항에 대해 bind-dyndb-ldap 플러그인을 즉시 알릴 수 있습니다. 또한 반복 폴링에 필요한 네트워크 대역폭 사용량을 줄입니다.

RUV(Database Replica Update Vector)에서 사용되지 않는 요소는 CLEANRUV 작업으로 제거할 수 있으므로 단일 공급 업체 또는 마스터에서 제거합니다. Red Hat Enterprise Linux 6.4는 새로운 CLEANALLRUV 작업을 추가하여 더 이상 사용되지 않는 RUV 데이터를 모든 복제본에서 제거할 수 있으며 단일 공급 업체/마스터에서만 실행해야 합니다.

samba4-libs 패키지에서 제공하는 samba4 라이브러리가 AD(Active Directory) 도메인과의 상호 운용성을 개선하기 위해 최신 업스트림 버전으로 업그레이드되었습니다. SSSD는 이제 libndr-krb5pac 라이브러리를 사용하여 AD KMS(Key Distribution Center)에서 발행한 PAC(Privilege Attribute Certificate)를 구문 분석합니다. 또한 Windows 시스템에서 신뢰를 확인할 수 있도록 LSA(Local Security Authority) 및 Net Logon 서비스에 대해 다양한 개선 사항이 개선되었습니다. samba4 패키지에 따라 달라지는 Cross Cryostat Kerberos Trust 기능의 도입에 대한 자세한 내용은 “Identity Management의 cross Cryostat Kerberos 신뢰 기능” 에서 참조하십시오.

Cross Cryostat Kerberos Trust 기능은 기술 프리뷰로 간주되므로 선택한 samba4 구성 요소는 기술 프리뷰로 간주됩니다. Samba 패키지가 기술 프리뷰로 간주되는지에 대한 자세한 내용은 표 5.1. “Samba4 패키지 지원 ” 을 참조하십시오.

Identity Management에서 제공하는 Cross Cryostat Kerberos Trust 기능은 기술 프리뷰로 포함되어 있습니다. 이 기능을 사용하면 Identity Management와 Active Directory 도메인 간에 신뢰 관계를 만들 수 있습니다. 즉, AD 도메인의 사용자는 AD 자격 증명을 사용하여 ID 관리 도메인의 리소스 및 서비스에 액세스할 수 있습니다. ID 관리 및 AD 도메인 컨트롤러 간에 데이터를 동기화할 필요가 없습니다. AD 사용자는 항상 AD 도메인 컨트롤러에 대해 인증되며 사용자에 대한 정보는 동기화 없이도 조회됩니다.

이 기능은 선택적 ipa-server-trust-ad 패키지에서 제공합니다. 이 패키지는 samba4 에서만 사용할 수 있는 기능에 따라 다릅니다. samba4-* 패키지는 해당 samba-* 패키지와 충돌하므로 ipa-server-trust-ad 를 설치하기 전에 모든 samba-* 패키지를 제거해야 합니다.

ipa-server-trust-ad 패키지가 설치되면 모든 Identity Management에서 신뢰를 처리할 수 있도록 ipa-adtrust-install 명령을 실행해야 합니다. 이 작업이 완료되면 명령줄에서 ipa trust-add 또는 WebUI를 사용하여 신뢰를 설정할 수 있습니다. 자세한 내용은 의 ID 관리 가이드에서 https://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ Active Directory와의 교차 실시간 Kerberos 트러스트 통합 섹션을 참조하십시오.

Windows Active Directory(AD)는 사용자 및 그룹 항목에 대해 POSIX 스키마(RFC 2307 및 2307bis)를 지원합니다. 대부분의 경우 AD는 POSIX 특성을 포함하여 사용자 및 그룹 데이터의 권한 있는 소스로 사용됩니다. Red Hat Enterprise Linux 6.4에서는 Directory Server Windows Sync가 더 이상 이러한 속성을 무시하지 않습니다. 이제 사용자가 AD와 389 Directory Server 간의 Windows Sync와 POSIX 특성을 동기화할 수 있습니다.