2장. 인증 및 상호 운용성


SSSD가 중첩된 도메인에 AD 사용자의 보조 그룹을 올바르게 보고

두 AD 도메인에 존재하는 동일한 samAccountName 특성을 가진 AD(Active Directory) 사용자에게 보조 그룹을 해결하지 못하는 경우가 있습니다.
  • AD 도메인 중 하나가 다른 도메인 아래에 중첩되었습니다.
  • 사용자는 기본이 아닌 조직 단위(OU)에 저장되었습니다.
결과적으로 id [user_name] 명령은 이러한 사용자의 기본 그룹만 보고했습니다.
기본 SSSD 코드가 사용자 계정과 해당 도메인과 더 잘 일치하도록 개선되었습니다. 결과적으로 SSSD는 설명된 상황에서 AD 사용자의 보조 그룹도 보고합니다. (BZ#1293168)

두 개의 SRV 확인 요청이 동시에 실행되면 인증이 더 이상 실패하지 않음

여러 SRV(서비스 레코드) 확인 요청이 동시에 실행되면 해당 요청 중 하나가 새 서버를 찾을 수 없음을 나타내는 실패를 반환했습니다. 결과적으로 ssh 유틸리티를 사용한 인증이 실패했습니다. 이번 업데이트를 통해 SSSD는 두 개의 동시 SRV 확인 요청을 정상적으로 처리합니다. 따라서 이 상황에서 인증이 더 이상 실패하지 않습니다. (BZ#1367435)

만료된 계정 또는 잠긴 계정이 있는 사용자는 SSH 키를 사용하여 IdM 클라이언트에 로그인할 수 없습니다.

만료된 사용자 계정이 있는 신뢰할 수 있는 AD(Active Directory) 사용자가 SSH 키와 같은 비암호 로그인 방법을 사용하여 IdM(Identity Management) 클라이언트에 로그인하려고 하면 로그인에 성공했습니다. 이번 업데이트를 통해 AD 사용자가 로그인할 수 있는지 여부를 확인할 때 IdM 클라이언트가 AD 잠금 속성을 확인합니다. 결과적으로 만료된 계정 또는 잠긴 계정이 있는 AD 사용자는 더 이상 이 상황에서 로그인할 수 없습니다.
이 버그는 보안 영향을 미치지 않습니다. 사용자 계정이 만료되었거나 서버 측에 잠겨 있기 때문에 AD 사용자가 IdM 클라이언트에서 Kerberos 티켓을 받을 수 없습니다. (BZ#1335400)

sssd_be 하위 프로세스가 더 이상 불필요하게 메모리를 사용하지 않음

이전에는 /etc/sssd/sssd.conf 파일에서 id_provider 옵션이 ad 로 설정된 경우 sssd_be 프로세스 내부의 도우미 프로세스가 실패하는 경우가 있었습니다. 그 결과 프로세스에서 추가 메모리를 사용하는 새 sssd_be 인스턴스를 생성했습니다.
이번 업데이트를 통해 SSSD는 도우미 프로그램을 사용할 수 없는 경우 sssd_be 하위 Process를 포크하지 않습니다. 이렇게 하면 메모리 사용량이 줄어듭니다. (BZ#1336453)

키탭에서 시스템 암호를 갱신하려고 하면 더 이상 SSSD가 작동하지 않음

키탭에 저장된 시스템 암호를 갱신하려고 할 때 SSSD(System Security Services Daemon)에서 파일 설명자를 유출했습니다. 유출된 파일 설명자가 점진적으로 누적되어 SSSD가 작동하지 않았습니다.
이번 업데이트를 통해 SSSD에서 더 이상 이 상황에서 파일 설명자를 유출하지 않습니다. 결과적으로 SSSD는 시스템에 설명된 부정적인 영향을 주지 않고 시스템 암호를 계속 업데이트할 수 있습니다. (BZ#1340176)

SSSD에서 key=value이외의 형식으로 속성이 포함된 GPO 파일을 올바르게 처리

이전에는 SSSD(System Security Services Daemon)에서 key=value 이외의 형식으로 속성 쌍을 포함하는 INI 파일을 올바르게 처리하지 않았습니다. 결과적으로 SSSD는 이러한 속성을 포함하는 GPO(그룹 정책 오브젝트) 파일을 처리하지 못했습니다.
이번 업데이트를 통해 SSSD에서 key=value 와 다른 특성 형식을 사용하는 경우에도 언급된 파일을 올바르게 처리할 수 있습니다. (BZ#1374813)

SSSD에서 externalUser 를 사용하여 사용자를 올바르게 확인

externalUser LDAP 속성에 대한 지원은 Red Hat Enterprise Linux 6.8의 SSSD(System Security Services Daemon)에서 제거되었습니다. 결과적으로 /etc/passwd 파일을 사용하여 로컬 계정에 sudo 규칙을 할당하지 못했습니다. 이 문제는 IdM(Identity Management) 도메인 및 AD(Active Directory) 신뢰할 수 있는 도메인 외부의 계정에만 영향을 미쳤습니다.
이번 업데이트를 통해 SSSD에서 externalUser 속성이 정의된 사용자를 올바르게 확인할 수 있습니다. 결과적으로 sudo 규칙을 할당하는 것이 설명된 상황에서 예상대로 작동합니다. (BZ#1321884)

AD 환경에서 SSSD를 올바르게 로컬 덮어쓰기 생성

이전에는 id_provider 옵션이 /etc/sssd/sssd.conf 파일에서 ad 로 설정된 경우 sss_override 유틸리티에서 대소문자를 구분하지 않는 DN(대소문자 구분 이름)을 생성했습니다. 그러나 SSSD 캐시의 DN은 대소문자를 구분합니다. 그 결과 AD(Active Directory) 하위 도메인 사용자와 혼합 계정 이름이 있는 사용자에 대해 로컬 덮어쓰기가 생성되지 않았습니다. 이번 업데이트를 통해 SSSD는 캐시에서 오브젝트를 검색하고 검색 결과에서 DN을 사용합니다. 이는 언급된 상황에서 문제를 해결합니다. (BZ#1327272)

OpenLDAP에서 NSS 설정을 올바르게 설정

이전에는 OpenLDAP 서버에서 NSS(네트워크 보안 설정) 코드를 잘못 처리했습니다. 그 결과 설정이 적용되지 않아 olcTLSProtocolMin 과 같은 특정 NSS 옵션이 올바르게 작동하지 않았습니다. 이번 업데이트에서는 버그를 해결하므로 영향을 받는 NSS 옵션이 예상대로 작동합니다. (BZ#1249092)

잘못된 형식의 HTTP 요청으로 인해 IPA 복제본 설치가 더 이상 실패하지 않음

이전에 pki-core 의 버그로 인해 PKI에서 HTTP 요청을 생성하여 IPA 복제본 설치 중에 잘못된 행 구분 기호를 사용했습니다. 동시에 httpd 에 대한 업데이트로 인해 이전 버전에서 수락된 경우에도 이러한 잘못된 형식의 요청이 거부되어 IPA 복제본 설치에 실패했습니다. 이번 업데이트에서는 pki-core 가 HTTP 요청 생성의 문제를 해결했으며 복제본 설치가 예상대로 작동합니다. (BZ#1403943)
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat, Inc.