3장. 인증 및 상호 운용성
Identity Management는 기본적으로 단방향 신뢰를 설정합니다.
이제 ipa trust-add 명령은 기본적으로 단방향 신뢰를 구성합니다. 단방향 신뢰를 사용하면 AD(Active Directory)의 사용자와 그룹이 IdM(Identity Management)의 리소스에 액세스하지만 다른 방법은 액세스할 수 없습니다. 이전에는 ipa trust-add 를 실행하여 구성된 기본 신뢰가 양방향 신뢰였습니다.
IdM은 여전히 관리자가 trust- add에 --two-way=true 옵션을 추가하여 양방향 신뢰를 설정할 수 있습니다.
OpenLDAP 버전 2.4.40으로 업데이트
openldap 패키지가 업스트림 버전 2.4.40으로 업그레이드되어 이전 버전에 비해 여러 가지 버그 수정과 개선 사항을 제공합니다. 특히
ppolicy 특성 유형 설명에 rules가 일치하는 규칙이 추가되었습니다. 수정된 버그 중: SRV 레코드를 처리할 때 서버가 더 이상 예기치 않게 종료되고 누락된 objectClass 정보가 추가되어 사용자가 표준 방법으로 프론트 엔드 구성을 수정할 수 있습니다.
SSSD의 캐시 인증
재연결 시도 없이 캐시에 대한 인증은 이제 온라인 모드에서도 SSSD에서 사용할 수 있습니다. 네트워크 서버에 대해 직접 인증하면 과도한 애플리케이션 대기 시간이 발생할 수 있으므로 로그인 프로세스가 너무 오래 걸릴 수 있습니다.
SSSD는 개별 클라이언트에서 UID 및 GID 매핑 가능
이제 SSSD를 사용하여 클라이언트 측 구성을 통해 특정 Red Hat Enterprise Linux 클라이언트의 다른 UID 및 GID에 사용자를 매핑할 수 있습니다. 이 클라이언트 측 덮어쓰기를 사용하면 UID 및 GID 중복으로 인한 문제를 해결하거나 이전에 다른 ID 매핑을 사용하는 레거시 시스템에서 쉽게 전환할 수 있습니다.
덮어쓰기는 SSSD 캐시에 저장됩니다. 캐시를 제거하여 재정의도 제거됩니다.
SSSD에서 잠긴 계정에 대한 SSH 액세스를 거부할 수 있음
이전 버전에서는 SSSD가 OpenLDAP를 인증 데이터베이스로 사용할 때 사용자 계정이 잠긴 후에도 SSH 키를 사용하여 시스템에 성공적으로 인증할 수 있었습니다. 이제
ldap_access_order 매개변수에서 ppolicy 값을 허용하므로 설명된 상황에서 사용자에게 대한 SSH 액세스를 거부할 수 있습니다. ppolicy 사용에 대한 자세한 내용은 sssd-ldap(5) 매뉴얼 페이지의 ldap_access_order 설명을 참조하십시오.
sudo 유틸리티에서 명령 체크섬을 확인할 수 있음
sudo 유틸리티의 구성은 이제 허용되는 명령 또는 스크립트의 체크섬을 저장할 수 있습니다. 명령 또는 스크립트가 다시 실행되면 체크섬이 저장된 체크섬과 비교하여 아무것도 변경되지 않았는지 확인합니다. 명령 또는 바이너리가 수정되면 sudo 유틸리티는 명령 실행을 거부하거나 경고를 기록합니다. 이 기능을 사용하면 사고 발생 시 책임을 올바르게 제거하고 문제를 해결할 수 있습니다.
SSSD 스마트 카드 지원
SSSD는 이제 로컬 인증을 위한 스마트 카드를 지원합니다. 이 기능을 사용하면 사용자는 스마트 카드를 사용하여 텍스트 기반 또는 그래픽 콘솔을 사용하여 시스템에 로그인할 수 있으며 sudo 서비스와 같은 로컬 서비스를 사용할 수 있습니다. 사용자는 스마트 카드를 리더에 배치하고 로그인 프롬프트에서 사용자 이름과 스마트 카드 1000을 제공합니다. 스마트 카드의 인증서가 확인되면 사용자가 성공적으로 인증됩니다.
SSSD에서는 현재 스마트 카드를 사용하여 Kerberos 티켓을 받을 수 없습니다. Kerberos 티켓을 얻으려면 kinit 유틸리티를 사용하여 인증해야 합니다.
여러 인증서 프로필 및 사용자 인증서 지원
Identity Management는 이제 단일 서버 인증서 프로파일만 지원하는 대신 서버 및 기타 인증서를 발행하기 위해 여러 프로필을 지원합니다. 프로필은 Directory 서버에 저장되고 IdM 복제본 간에 공유됩니다.
또한 관리자는 이제 개별 사용자에게 인증서를 발행할 수 있습니다. 이전에는 호스트 및 서비스에 대한 인증서만 발행할 수 있었습니다.
암호 자격 증명 모음
개인 사용자 정보의 안전한 중앙 스토리지를 허용하는 새로운 기능이 ID 관리에 추가되었습니다. 암호 자격 증명 모음은 PKI(Public Key Infrastructure) KMS(KRA) 하위 시스템 위에 빌드됩니다.
Identity Management의 Kerberos HTTPS 프록시
MS-KDCP(Key Distribution Center) 구현과 상호 운용 가능한 KDC(Key Distribution Center) 프록시 기능은 이제 ID 관리에서 사용할 수 있으며 클라이언트가 HTTPS를 사용하여 ScanSetting 및
kpasswd 서비스에 액세스할 수 있습니다. 이제 시스템 관리자는 전용 애플리케이션을 설정하고 관리할 필요 없이 간단한 HTTPS 역방향 프록시를 통해 네트워크 에지에서 프록시를 노출할 수 있습니다.
캐시된 항목의 배경 새로 고침
SSSD를 사용하면 이제 백그라운드에서 캐시된 항목을 대역 외 업데이트할 수 있습니다. 이번 업데이트 이전에는 캐시된 항목의 유효성이 만료되면 SSSD에서 원격 서버에서 해당 항목을 가져와서 데이터베이스에 저장했으며 시간이 오래 걸릴 수 있습니다. 이번 업데이트를 통해 백엔드에서 항상 업데이트할 수 있으므로 항목이 즉시 반환됩니다. SSSD는 요청 시만 아니라 정기적으로 항목을 다운로드하므로 서버에서 부하가 높아집니다.
initgroups 작업 캐싱
SSSD 빠른 메모리 캐시는
initgroups 처리 속도를 개선하고 일부 애플리케이션의 성능을 향상시킵니다(예: GlusterFS 및 slapi-nis ).
mod_auth_gssapi를 사용하여 간소화된 인증 협상
ID 관리에서는 이전에 사용된
mod_auth_kerb 모듈에서 사용하는 직접 Kerberos 호출 대신 GSSAPI 호출을 사용하는 mod_auth_gssapi 모듈을 사용합니다.
사용자 라이프사이클 관리 기능
사용자 라이프사이클 관리는 관리자에게 사용자 계정 활성화 및 비활성화를 보다 효과적으로 제어할 수 있도록 합니다. 관리자는 이제 완전히 활성화하지 않고 스테이지 영역에 새 사용자 계정을 추가하거나, 비활성 사용자 계정을 활성화하여 완전히 작동하거나, 데이터베이스에서 사용자 계정을 완전히 삭제하지 않고 사용자 계정을 비활성화할 수 있습니다.
사용자 라이프사이클 관리 기능은 대규모 IdM 배포에 상당한 이점을 제공합니다. 직접 LDAP 작업을 사용하여 표준 LDAP 클라이언트에서 직접 사용자를 스테이징 영역에 추가할 수도 있습니다. 이전에는 IdM에서 IdM 명령줄 도구 또는 IdM 웹 UI를 사용하는 사용자 관리만 지원했습니다.
certmonger의 SCEP 지원
certmonger 서비스가SCEP(Simple Certificate Enrollment Protocol)를 지원하도록 업데이트되었습니다. 이제 SCEP를 통해 새 인증서를 발행하고 기존 인증서를 갱신하거나 교체할 수 있습니다.
IdM용 Apache 모듈 이제 완전히 지원됨
Red Hat Enterprise Linux 7.1에서 기술 프리뷰로 추가된 다음 Apache 모듈은 이제 완전히 지원됩니다.
mod_authnz_pam,mod_lookup_identity, mod_intercept_form_submit. 외부 애플리케이션에서 Apache 모듈을 사용하여 간단한 인증 외에도 IdM과 더욱 긴밀하게 상호 작용할 수 있습니다.
NSS가 허용되는 최소의 주요 강점 값을 높입니다.
Red Hat Enterprise Linux 7.2의 NSS(Network Security Services) 라이브러리는 더 이상 768비트보다 작은 Diffie-Hellman (DH) 키 교환 매개 변수도, 1023비트 미만의 RSA 및 DSA 인증서를 허용하지 않습니다. 허용되는 최소 키 강점 값을 올리면 Logjam(CVE-2015-4000) 및 FREAK(CVE-2015-0204)와 같은 알려진 보안 취약점을 공격할 수 없습니다.
이전 버전의 Red Hat Enterprise Linux에서 작동하더라도 새로운 최소 값보다 약한 키를 사용하여 서버에 연결하려고 합니다.
NSS는 기본적으로 TLS 버전 1.1 및 1.2를 활성화합니다.
NSS가 기본적으로 활성화하는 프로토콜 버전을 사용하는 애플리케이션에서 TLS 버전 1.1 및 TLS 버전 1.2 프로토콜을 추가로 지원합니다.
ECDSA 인증서 지원
기본 NSS 암호화 목록을 사용하는 애플리케이션에서는 이제 ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서를 사용하는 서버에 대한 연결을 지원합니다.
OpenLDAP는 NSS 기본 암호화 제품군을 자동으로 선택합니다.
이제 OpenLDAP 클라이언트가 서버와의 통신을 위해 NSS(Network Security Services) 기본 암호화 제품군을 자동으로 선택합니다. 더 이상 OpenLDAP 소스 코드에서 기본 암호화 제품군을 수동으로 유지 관리할 필요가 없습니다.
신뢰할 수 있는 에이전트로 IdM 서버 구성 지원
IdM(Identity Management)은 신뢰 컨트롤러와 신뢰 에이전트라는 두 가지 유형의 IdM 마스터 서버를 구분합니다. 신뢰 컨트롤러는 신뢰를 설정 및 유지 관리하는 데 필요한 모든 서비스를 실행합니다. 신뢰 에이전트는 신뢰할 수 있는 Active Directory 포리스트에서 이러한 IdM 서버에 등록된 IdM 클라이언트에 대한 사용자 및 그룹 문제 해결을 제공하는 데 필요한 서비스만 실행합니다.
기본적으로 ipa-adtrust-install 명령을 실행하면 IdM 서버를 신뢰 컨트롤러로 설정합니다. 다른 IdM 서버를 신뢰 에이전트로 구성하려면 --add-agents 옵션을 ipa-adtrust-install 에 전달합니다.
WinSync에서 신뢰로의 자동 마이그레이션 지원
새로운 ipa-winsync-migrate 유틸리티를 사용하면 WinSync를 사용하여 동기화 기반 통합에서 AD(Active Directory) 신뢰를 기반으로 하는 통합으로 원활하게 마이그레이션할 수 있습니다. 유틸리티는 지정된 AD 포리스트에서 WinSync를 사용하여 동기화된 모든 사용자를 자동으로 마이그레이션합니다. 이전에는 동기화에서 신뢰로의 마이그레이션은 ID 보기를 사용하여 수동으로만 수행할 수 있었습니다.
ipa-winsync-migrate 에 대한 자세한 내용은 ipa-winsync-migrate(1) 매뉴얼 페이지를 참조하십시오.
일회성 및 장기 암호를 위한 다중 단계 프롬프트
로그인하기 위해 일회성 암호( 토큰)를 장기 암호와 함께 사용하는 경우 사용자에게 두 암호를 모두 별도로 입력하라는 메시지가 표시됩니다. 이로 인해 일회성 암호를 사용할 때 사용자 환경이 향상되고 장기적인 암호 추출을 통해 오프라인 인증에 사용할 수 있습니다.
OpenLDAP의 LPK 스키마가 LDIF 형식으로 사용 가능
LDIF는 OpenLDAP 가져오기 스키마의 새로운 기본 형식이며 openssh-ldap 패키지는 이제 LDIF 형식의 LPK(LDAP 공개 키) 스키마도 제공합니다. 따라서 관리자는 LDAP를 기반으로 공개 키 인증을 설정할 때 LDIF 스키마를 직접 가져올 수 있습니다.
Cyrus가 AD 및 IdM 서버에 다시 인증 가능
cyrus-sasl 패키지의 업스트림 릴리스에는 Cyrus가 이전 SASL 구현에 대해 인증되지 않도록 하는 이전 버전과 호환되지 않는 변경 사항이 도입되었습니다. 결과적으로 Red Hat Enterprise Linux 7은 AD(Active Directory) 및 Red Hat Enterprise Linux 6 IdM(Identity Management) 서버에 인증할 수 없었습니다. 업스트림 변경 사항이 복원되었으며 Cyrus는 이제 예상대로 AD 및 IdM 서버에 인증할 수 있습니다.
SSSD에서 자동으로 검색된 AD 사이트 덮어쓰기 지원
클라이언트가 연결하는 AD(Active Directory) DNS 사이트는 기본적으로 자동으로 검색됩니다. 그러나 기본 자동 검색은 특정 설정에서 가장 적합한 AD 사이트를 검색하지 못할 수 있습니다. 이러한 상황에서
/etc/sssd/sssd.conf 파일의 [domain/NAME] 섹션에서 ad_site 매개변수를 사용하여 DNS 사이트를 수동으로 정의할 수 있습니다.
SAML ECP에 대한 지원이 추가되었습니다.
lasso 패키지는 버전 2.5.0으로 재지정되었으며, mod_auth_mellon 패키지는 SAML(Security Assertion Markup Language) Enhanced Client 또는 Proxy(ECP)에 대한 지원을 추가하기 위해 버전 0.11.0으로 변경되었습니다. SAML ECP는 브라우저 기반 SSO(Single Sign On)를 허용하는 대체 SAML 프로필입니다.
winbindd 서비스에서 더 이상 기본 구성에서 그룹 멤버십을 나열하지 않음
Samba 버전 4.2.0 이상에서
winbindd 서비스는 디스플레이 목적으로 그룹 멤버십을 나열하지 않습니다. 일부 상황에서는 신뢰할 수 있는 도메인이 있는 환경에서 이러한 정보를 안정적으로 제공할 수 없었습니다. 부정확한 정보를 제공할 위험을 방지하기 위해 기본 winbindd 구성이 winbind expand groups = 0 으로 변경되어 이전 동작을 비활성화합니다. getent group 명령과 같은 일부 명령은 이전에 이 기능에 의존했으며 이전처럼 작동하지 않을 수 있습니다.
