1장. 인증
Directory Server는 구성 가능한 정규화 DN 캐시 지원
이번 업데이트에서는
memberOf 와 같은 플러그인 및 많은 DN 구문 속성을 사용하여 항목을 업데이트하는 작업에 대해 더 나은 성능을 제공합니다. 새로 구현된 구성 가능한 정규화 DN 캐시를 사용하면 서버에서 DN을 보다 효율적으로 처리합니다.
암호 이외의 인증을 사용할 때 SSSD에서 암호 만료 경고 표시
이전에는 SSSD가 인증 단계에서만 암호 유효 여부를 확인할 수 있었습니다. SSH 로그인 중에와 같이 비암호 인증 방법을 사용하는 경우 인증 단계에서 SSSD를 호출하지 않았으므로 암호 유효 검사를 수행하지 않았습니다. 이번 업데이트에서는 인증 단계에서 계정 단계로 검사를 이동합니다. 결과적으로 SSSD는 인증 중에 암호가 사용되지 않은 경우에도 암호 만료 경고를 발행할 수 있습니다. 자세한 내용은 배포 가이드를 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html
SSSD에서 사용자 주체 이름으로 로그인 지원
이제 사용자 이름 외에도 SSSD에서 Active Directory 사용자가 사용할 수 있는 사용자 및 사용자 로그인을 식별하는 데 사용할 수 있습니다. 이번 개선된 기능을 통해 사용자 이름과 도메인 또는 UPN 특성을 사용하여 AD 사용자로 로그인할 수 있습니다.
SSSD는 캐시된 항목에 대한 백그라운드 새로 고침 지원
SSSD를 사용하면 백그라운드에서 캐시된 항목을 대역 외 업데이트할 수 있습니다. 이번 업데이트 이전에는 캐시된 항목의 유효성이 만료되면 SSSD가 원격 서버에서 해당 항목을 가져와서 데이터베이스 anew에 저장했으며 시간이 오래 걸릴 수 있습니다. 이번 업데이트를 통해 백엔드가 항상 업데이트되므로 항목이 즉시 반환됩니다. 이는 SSSD가 요청 시에만 항목을 정기적으로 다운로드하므로 서버에 대한 부하가 높아집니다.
sudo 명령은 zlib 압축 I/O 로그를 지원합니다.
sudo 명령은 이제
zlib 지원을 사용하여 빌드되어 sudo 가 압축된 I/O 로그를 생성하고 처리할 수 있습니다.
새 패키지: openscap-scanner
이전에 스캐너 툴이 포함된 openscap-scanner 패키지의 모든 종속 항목을 설치할 필요 없이 관리자가 OpenSCAP 스캐너(oscap)를 설치하고 사용할 수 있도록 새 패키지 openscap- scanner가 제공됩니다. OpenSCAP 스캐너를 별도로 패키징하면 불필요한 종속성 설치와 관련된 잠재적인 보안 위험이 줄어듭니다. openscap-utils 패키지는 계속 사용할 수 있으며 기타 기타 툴이 포함되어 있습니다. oscap 툴만 필요한 사용자는 openscap-utils 패키지를 제거하고 openscap-scanner 패키지를 설치하는 것이 좋습니다.
새로운 패키지: SCAP 평가를 위한 scap-workbench
SCAP Workbench를 사용하면 SCAP-content 조정 및 단일 시스템 평가를 쉽게 사용할 수 있습니다. scap-security-guide 콘텐츠의 통합으로 진입 장벽을 크게 낮춥니다. 이번 업데이트 이전에는 Red Hat Enterprise Linux 6에 scap-security-guide 및 openscap 패키지가 포함되어 있지만 scap-workbench 패키지는 포함되어 있지 않습니다. SCAP Workbench가 없으면 SCAP 평가를 테스트하기 위해 명령줄이 필요하며 오류가 발생하기 쉽고 일부 사용자에게 큰 영향을 미칩니다. SCAP Workbench를 사용하면 사용자가 SCAP 콘텐츠를 쉽게 사용자 지정하고 단일 시스템에서 평가를 테스트할 수 있습니다.
NSS에서 지원하는 경우 TLS 1.0 이상이 기본적으로 활성화되어 있습니다.
CVE-2014-3566으로 인해 SSLv3 및 이전 프로토콜 버전은 기본적으로 비활성화되어 있습니다. Directory Server는 NSS 라이브러리에서 제공하는 범위 방식으로 TLSv1.1 및 TLSv1.2와 같은 보다 안전한 SSL 프로토콜을 허용합니다. 콘솔이 Directory Server 인스턴스와 통신할 때 사용할 SSL 범위를 정의할 수도 있습니다.
OpenLDAP에는 pwdChecker 라이브러리가 포함되어 있습니다.
이번 업데이트에서는 OpenLDAP
pwdChecker 라이브러리를 포함하여 OpenLDAP pwdChecker의 암호 확인 확장을 도입했습니다. Red Hat Enterprise Linux 6의 PCI 규정 준수에는 확장이 필요합니다.
SSSD에서 자동으로 검색된 AD 사이트 덮어쓰기 지원
클라이언트가 연결하는 Active Directory(AD) DNS 사이트는 기본적으로 자동으로 검색됩니다. 그러나 기본 자동 검색이 특정 설정에서 가장 적합한 AD 사이트를 검색하지 못할 수 있습니다. 이러한 상황에서는
/etc/sssd/sssd.conf 파일의 [domain/NAME] 섹션에서 ad_site 매개 변수를 사용하여 DNS 사이트를 수동으로 정의할 수 있습니다. ad_site 에 대한 자세한 내용은 Identity Management Guide를 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
certmonger에서 SCEP 지원
certmonger 서비스가 SCEP(Simple Certificate Enrollment Protocol)를 지원하도록 업데이트되었습니다. 서버에서 인증서를 얻으려면 이제 SCEP에 등록을 제공할 수 있습니다.
Directory Server 삭제 작업에 대한 성능 개선
이전에는 그룹 삭제 작업 중에 수행된 재귀 중첩 그룹 조회가 매우 큰 정적 그룹이 있는 경우 완료하는 데 시간이 오래 걸릴 수 있었습니다. 중첩된 그룹 검사를 건너뛸 수 있도록 새로운
memberOfSkipNested 구성 속성이 추가되어 삭제 작업의 성능이 크게 향상됩니다.
SSSD는 WinSync에서 Cross-Realm Trust로 사용자 마이그레이션을 지원
Red Hat Enterprise Linux 6.7에서 사용자 구성의 새로운
ID 보기 메커니즘이 구현되었습니다. ID 보기를 사용하면 Active Directory에서 사용하는 WinSync 동기화 기반 아키텍처에서 실제 신뢰를 기반으로 인프라로 ID 관리 사용자를 마이그레이션할 수 있습니다. ID 보기 및 마이그레이션 절차에 대한 자세한 내용은 Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html를 참조하십시오.
SSSD에서 localauth Kerberos 플러그인 지원
이번 업데이트에서는 로컬 권한 부여를 위해
localauth Kerberos 플러그인이 추가되었습니다. 플러그인을 사용하면 Kerberos 주체가 로컬 SSSD 사용자 이름에 자동으로 매핑됩니다. 이 플러그인을 사용하면 더 이상 krb5.conf 파일에서 auth_to_local 매개변수를 사용할 필요가 없습니다. 플러그인에 대한 자세한 내용은 Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html를 참조하십시오.
SSSD는 시스템 로그인 권한 없이 지정된 애플리케이션에 대한 액세스를 지원
domains= 옵션이 pam_sss 모듈에 추가되어 /etc/sssd/sssd.conf 파일의 domain= 옵션을 덮어씁니다. 이번 업데이트에서는 pam_trusted_users 옵션도 추가하여 사용자가 SSSD 데몬에서 신뢰하는 숫자 UID 또는 사용자 이름 목록을 추가할 수 있습니다. 또한 pam_public_domains 옵션과 신뢰할 수 없는 사용자가도 액세스할 수 있는 도메인 목록이 추가되었습니다. 이러한 새 옵션을 사용하면 일반 사용자가 시스템 자체에 대한 로그인 권한 없이 지정된 애플리케이션에 액세스할 수 있는 시스템 구성을 사용할 수 있습니다. 자세한 내용은 Identity Management Guide를 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD는 AD 및 IdM에서 일관된 사용자 환경 지원
sssd 서비스는 IdM(Identity Management)과의 신뢰 관계에 있는 AD(Active Directory) 서버에 정의된 POSIX 속성을 읽을 수 있습니다. 이번 업데이트를 통해 관리자는 AD 서버에서 IdM 클라이언트로 사용자 지정 사용자 쉘 속성을 전송할 수 있습니다. 그런 다음 SSSD는 IdM 클라이언트에 사용자 지정 속성을 표시합니다. 이번 업데이트를 통해 기업 전체에서 일관된 환경을 유지할 수 있습니다. 클라이언트의 homedir 속성에는 현재 AD 서버의 subdomain_homedir 값이 표시됩니다. 자세한 내용은 Identity Management Guide를 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html
SSSD는 로그인하기 전에 AD 신뢰할 수 있는 사용자를 위한 그룹 표시 지원
IdM(Identity Management)과의 신뢰 관계에 있는 AD(Active Directory) 사용자가 로그인하기 전에 그룹 멤버십을 확인할 수 있습니다. 결과적으로
id 유틸리티에 사용자가 로그인할 필요 없이 이러한 사용자에 대한 그룹이 표시됩니다.
getcert는 certmonger 없이 인증서 요청 지원
IdM(Identity Management) 클라이언트 kickstart 등록 중에
getcert 유틸리티를 사용하여 인증서를 요청하는 경우 더 이상 certmonger 서비스를 실행할 필요가 없습니다. 이전에는 certmonger 가 실행되지 않았기 때문에 이 작업을 시도하지 못했습니다. 이번 업데이트를 통해 getcert 는 D-Bus 데몬이 실행 중이 아닌 상태에서 설명된 상황에서 인증서를 성공적으로 요청할 수 있습니다. certmonger 는 재부팅 후 이 방법으로 얻은 인증서를 모니터링하기 시작합니다.
SSSD에서 사용자 식별자의 케이스 유지 지원
SSSD에서
true,false 및 preserve values for the case_sensitive 옵션을 지원합니다. 보존 값이 활성화되면 케이스에 관계없이 입력이 일치하지만 출력은 항상 서버의 경우와 동일합니다. SSSD는 구성된 UID 필드의 대소문자를 유지합니다.
SSSD에서 잠긴 계정 SSH 로그인 액세스 거부 지원
이전 버전에서는 SSSD에서 OpenLDAP를 인증 데이터베이스로 사용할 때 사용자 계정이 잠긴 후에도 사용자가 SSH 키를 사용하여 시스템에 성공적으로 인증할 수 있었습니다.
ldap_access_order 매개변수는 이제 설명된 상황에서 사용자에게 SSH 액세스를 거부할 수 있는 ppolicy 값을 허용합니다. ppolicy 사용에 대한 자세한 내용은 sssd-ldap(5) 도움말 페이지의 ldap_access_order 설명을 참조하십시오.
SSSD는 AD에서 GPO 사용을 지원
SSSD는 액세스 제어를 위해 AD(Active Directory) 서버에 저장된 그룹 정책 오브젝트(GPO)를 사용할 수 있습니다. 이번 개선된 기능을 통해 Windows 클라이언트의 기능을 모방하고 단일 액세스 제어 규칙을 사용하여 Windows 및 Unix 머신을 처리할 수 있습니다. 실제로 Windows 관리자는 GPO를 사용하여 Linux 클라이언트에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 Identity Management Guide: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.
