5장. 인증 및 상호 운용성

Red Hat Enterprise Linux 6.3에서 소개된 일부 기능은 현재 Red Hat Enterprise Linux 6.4에서 완전 지원됩니다. 특히 다음과 같은 기능을 완전 지원합니다:

Kerberos 버전 1.10에서 새로운 캐시 스토리지 유형 DIR:가 추가되어 Kerberos가 여러 KDC (Key Distribution Centers)의 TGT (Ticket Granting Tickets)를 동시에 관리하고 Kerberos 인식 리소스와 협상할 때 이들 간 자동 선택할 수 있게 합니다. Red Hat Enterprise Linux 6.4에서 SSSD는 SSSD를 통해 로그인하는 사용자의 DIR: 캐시를 선택할 수 있도록 기능이 강화되었습니다. 이러한 기능은 기술 프리뷰로 소개되고 있습니다.

Red Hat Enterprise Linux 6.4에서 ipa group-add-member 명령을 사용하여 ID 관리에서 external로 표시된 그룹에 Active Directory 기반 신뢰할 수 있는 도메인의 멤버를 추가할 수 있습니다. 이러한 멤버는 AD\UserName, AD\GroupName, User@AD.Domain와 같이 도메인 구문이나 또는 UPN 기반 구문을 사용하여 이름이 지정됩니다. 이 형식으로 지정하면 보안 인증 (SID) 값을 얻기 위해 멤버는 Active Directory 기반 신뢰할 수 있는 도메인의 글로벌 카탈로그에 대해 수행됩니다.

다른 방법으로 SID 값을 직접 입력할 수 있습니다. 이러한 경우 ipa group-add-member 명령은 SID 값의 도메인 부분이 신뢰할 수 있는 Active Directory 도메인 중 하나임을 확인하게 됩니다. 도메인 내의 SID의 유효성에 대한 검증은 이루어지지 않게 됩니다.

외부 멤버를 지정할 때 SID 값을 직접 제공하지 않고 사용자 또는 그룹 이름 구문을 사용할 것을 권장합니다.

새로운 인증 기관의 기본 유효 기간은 10년입니다. 인증 기관 (CA)에서는 하부 시스템 (OCSP, 감사 로그, 기타)의 인증서를 발급합니다. 하부 시스템의 인증서는 일반적으로 2년간 유효합니다. 인증서가 만료하면 CA가 제대로 시작되지 않거나 제대로 작동하지 않게 됩니다. 따라서 Red Hat Enterprise Linux 6.4에서는 ID 관리 서버에 자동으로 하부 시스템 인증서를 갱신하는 기능을 제공합니다. 하부 시스템 인증서는 certmonger에 의해 추적되어 인증서 유효 기간이 만료되기 전 자동으로 인증서 업데이트를 시도합니다.

Red Hat Enterprise Linux 6.4에서 OpenLDAP는 ID 관리 클라이언트 설치 중 기본 LDAP URI, Base DN, TLS 인증서로 자동으로 설정됩니다. 이는 ID 관리 디렉토리 서버를 확인하기 위해 LDAP 검색을 실행할 때 사용자의 사용 성능을 향상시킵니다.

NSS (Network Security Services) 및 NSPR (Netscape Portable Runtime)의 Python 바인딩을 제공하는 python-nss 패키지가 업데이트되어 PKCS #12 지원이 추가되었습니다.

Red Hat Enterprise Linux 6.4의 LDAP에는 영역 및 리소스 기록 모두에 대한 영구적 검색 지원이 포함되어 있습니다. 영구적 검색을 사용하면 LDAP 데이터베이스에서의 모든 변경 사항에 대해 bind-dyndb-ldap 플러그인에 즉시 알릴 수 있습니다. 또한 반복 폴링에 필요한 네트워크 대역폭의 사용량을 감소시킬 수 있습니다.

데이터베이스 RUV (Replica Update Vector)의 폐기 요소는 CLEANRUV 동작으로 삭제할 수 있습니다. 이 동작은 단일 공급 업체 또는 마스터에 있는 폐기 요소를 제거합니다. Red Hat Enterprise Linux 6.4에는 모든 복제본에서 폐기 RUV 데이터를 제거할 수 있는 새로운 CLEANALLRUV 동작이 추가되어 단일 공급업체 또는 마스터에서만 실행해야 합니다.

samba4 라이브러리 (samba4-libs 패키지에 의해 제공)가 최신 업스트림 버전으로 업그레이드되어 AD (Active Directory) 도메인과의 상호 운용성이 향상되었습니다. 현재 SSSD는 libndr-krb5pac 라이브러리를 사용하여 AD KDC (Key Distribution Center)에서 발행하는 PAC (Privilege Attribute Certificate)를 분석합니다. 또한 LSA (Local Security Authority) 및 Net Logon 서비스에 여러 기능이 개선되어 Windows 시스템에서 신뢰성을 검증할 수 있습니다. samba4 패키지에 종속된 Cross Realm Kerberos Trust 기능에 대한 보다 자세한 내용은 “ID 관리에서 Cross Realm Kerberos Trust 기능 ”에서 참조하십시오.

Cross Realm Kerberos Trust 기능은 기술 프리뷰로 간주되므로 samba4의 일부 구성 요소도 기술 프리뷰로 간주됩니다. 기술 프리뷰로 간주되고 있는 Samba 패키지에 대한 보다 자세한 내용은 표 5.1. “Samba4 패키지 지원 ”에서 참조하십시오.

ID 관리에서 제공하는 Cross Realm Kerberos Trust 기능은 기술 프리뷰로 포함되어 있습니다. 이 기능을 사용하여 ID 관리 도메인 및 Active Directory 도메인 간의 신뢰 관계를 생성할 수 있습니다. 즉 AD 도메인에서 사용자는 AD 인증 정보를 사용하여 ID 관리 도메인의 리소스 및 서비스에 액세스할 수 있습니다. ID 관리 및 AD 도메인 컨트롤러 간의 데이터 동기화가 필요하지 않습니다. AD 사용자는 AD 컨트롤러에 대해 인증되므로 동기화할 필요 없이 사용자에 대한 정보를 검색할 수 있습니다.

이 기능은 ipa-server-trust-ad 패키지 옵션에 의해 제공됩니다. 이 패키지는 samba4에서만 사용할 수 있는 기능에 의존합니다. samba4-* 패키지가 해당 samba-* 패키지와 충돌하므로 ipa-server-trust-ad 패키지 설치 전 모든 samba-* 패키지를 제거해야 합니다.

ipa-server-trust-ad 패키지를 설치할 때 ipa-adtrust-install 명령을 모든 ID 관리 서버 및 복제에서 실행하여 신뢰 관계를 처리할 수 있도록 ID 관리를 활성화합니다. 이를 완료하면 ipa trust-add 또는 WebUI를 사용하여 명령행에서 신뢰 관계를 구축할 수 있습니다. 보다 자세한 내용은 https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/에 있는 ID 관리 가이드의 Cross-Realm Kerberos Trusts를 통해 Active Directory와 통합 섹션에서 참조하십시오.

Windows Active Directory (AD)는 사용자 및 그룹 항목에 POSIX 스키마 (RFC 2307 및 2307bis)를 지원합니다. 많은 경우에 있어서 AD는 POSIX 속성을 포함하여 사용자 및 그룹 데이터의 인증 소스로 사용됩니다. Red Hat Enterprise Linux 6.4, Directory Server Windows 동기화로 더이상 이러한 속성이 무시되지 않습니다. 사용자는 Windows 동기화를 사용하여 AD와 389 Directory Server간의 POSIX 속성을 동기화할 수 있습니다.