5장. 인증 및 상호 운용성

여러 영역에서 서버 성능이 향상되었습니다.

Identity Management의 일부 작업은 이제 훨씬 더 빠르게 실행됩니다. 예를 들어, 이러한 향상된 기능을 통해 대규모 배포에서는 50,000명 이상의 사용자 및 호스트를 초과하는 확장성을 개선할 수 있습니다. 특히 개선 사항은 다음과 같습니다.

사용자 및 호스트 추가 가속화
모든 명령에 대해 더 빠른 Kerberos 인증
ipa user-find 및 ipa host-find 명령 실행 속도 단축

많은 수의 항목을 프로비저닝하는 데 필요한 시간을 줄이는 방법에 대한 자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuning을 참조하십시오.

찾기 작업을 더 빠르게 수행하기 위해 ipa *-find 명령에서 더 이상 기본적으로 멤버십이 표시되지 않습니다. 멤버십을 표시하려면 ipa *-find 에 --all 옵션을 추가하거나 ipa *-show 명령을 사용합니다. (BZ#1298288, BZ#1271321, BZ#1268449, BZ#1346321)

IdM 토폴로지 관리 강화

IdM(Identity Management) 토폴로지에 대한 정보가 공유 트리의 중앙 위치에서 유지됩니다. 결과적으로 명령줄 또는 웹 UI를 사용하여 IdM 서버의 토폴로지를 관리할 수 있습니다.

또한 일부 토폴로지 관리 작업이 간소화되었습니다.

기본 IdM 명령줄 툴을 사용하여 모든 복제본 작업을 수행할 수 있도록 토폴로지 명령이 IdM 명령줄 인터페이스에 통합되었습니다.
웹 UI에서 복제 계약을 관리하거나 새로운 간소화된 워크플로를 사용하여 명령줄에서 복제 계약을 관리할 수 있습니다.
웹 UI에는 복제본 관계의 현재 상태를 시각화하는 데 도움이 되는 IdM 토폴로지 그래프가 포함되어 있습니다.
IdM에는 실수로 토폴로지에서 마지막 CA(인증 기관) 마스터를 삭제하거나 다른 서버에서 서버를 격리하지 못하도록 하는 안전 조치가 포함되어 있습니다.
토폴로지에서 어떤 서버를 호스트하고 이러한 서비스를 서버에 설치하는 간단한 방법으로 서버 역할을 지원합니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#managing-topology에서 참조하십시오.

새로운 기능을 사용하려면 도메인 수준을 1 로 늘려야 합니다. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#1298848, BZ#1199516)을 참조하십시오.

간소화된 복제본 설치

복제본을 설치하면 더 이상 초기 서버에 로그인하고, DM(Directory Manager) 자격 증명을 사용하고, 초기 서버에서 복제본 정보 파일을 복사할 필요가 없습니다. 예를 들어, 이를 통해 적절한 수준의 보안을 유지하면서 외부 인프라 관리 시스템을 사용하여 보다 쉽게 프로비저닝할 수 있습니다.

또한 ipa-replica-install 유틸리티에서 기존 클라이언트도 복제본으로 승격할 수 있습니다.

IdM에서 AD 사용자를 위한 스마트 카드 인증 지원

이번 업데이트에서는 IdM(Identity Management)의 스마트 카드 지원이 확장되었습니다. 신뢰할 수 있는 AD(Active Directory)의 사용자는 이제 ssh 및 로컬을 사용하여 원격으로 스마트 카드를 사용하여 인증할 수 있습니다. 로컬 인증에 지원되는 방법은 다음과 같습니다.

텍스트 콘솔
GDM(Gnome Display Manager)과 같은 그래픽 콘솔
su 또는 sudo와 같은 로컬 인증 서비스

IdM은 스마트 카드 인증에 대해 위에서 언급한 로컬 인증 서비스 및 ssh 만 지원합니다. FTP와 같은 다른 서비스는 지원되지 않습니다.

AD 사용자의 스마트 카드 인증서는 AD에 직접 저장하거나 AD 사용자의 IdM 재정의 오브젝트에 저장할 수 있습니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#smart-cards (BZ#1298966, BZ#1290378)에서 참조하십시오.

IdM에서 TGS 권한 부여 지원

IdM(Identity Management) 환경에서 사용자는 선택적으로 다단계 인증을 사용하여 로그인할 수 있습니다. TGS( 티켓 부여 서버)의 Kerberos 티켓에는 이제 OTP(one-time password)와 함께 표준 암호를 사용한 2단계 인증이 사용된 경우 표시기가 포함됩니다. 이를 통해 관리자는 리소스에 대한 서버 측 정책을 설정할 수 있으며 사용자는 로그인 유형에 따라 액세스할 수 있습니다. 예를 들어 관리자는 이제 사용자가 일회성 또는 2 단계 인증을 사용하여 데스크탑에 로그인하도록 허용하지만, virtual private networks (knative) 로그인에 대한 2 단계 인증이 필요합니다.

기본적으로 모든 서비스는 모든 티켓을 허용합니다. 이 세분을 활성화하려면 IdM 웹 사용자 인터페이스에서 정책을 관리하거나 ipa service-* 및 ipa host-* 명령을 사용해야 합니다. (BZ#1224057, BZ#1340304, BZ#1292153)

`sssd` 는 선택적인 2 단계 인증 제공

SSSD(System Security Services Daemon)를 사용하면 표준 암호와 OTP(한시 암호)를 사용하거나 표준 암호만 사용하여 두 단계 인증이 활성화된 사용자가 서비스에 인증할 수 있습니다. 선택적 2 단계 인증을 사용하면 관리자가 단일 요인을 사용하여 로컬 로그인을 구성할 수 있지만 다른 서비스는 두 요소를 모두 요청할 수 있습니다. 결과적으로 로그인 중에 사용자는 두 요인 중 하나 또는 선택적으로 암호만 입력할 수 있습니다. 그런 다음 Kerberos 티켓은 인증 지표를 사용하여 사용된 요소를 나열합니다. (BZ#1325809)

새로운 SSSD 제어 및 상태 유틸리티

sssctl 유틸리티는 SSSD(System Security Services Daemon) 상태에 대한 정보를 얻을 수 있는 간단하고 통합된 방법을 제공합니다. 예를 들어 활성 서버, 자동 검색 서버, 도메인 및 캐시된 오브젝트에 대한 상태 정보를 쿼리할 수 있습니다. 또한 sssctl 유틸리티를 사용하면 SSSD 데이터 파일을 관리하여 서비스가 실행되는 동안 안전하게 SSSD의 문제를 해결할 수 있습니다.

sssctl 에서 지원하는 옵션에는 SSSD 캐시를 백업 및 제거하기 위한 client-data-backup 및 cache-remove 가 포함됩니다. 이전에는 캐시된 데이터 없이 SSSD를 시작해야 할 때 관리자는 캐시 파일을 수동으로 제거해야 했습니다.

유틸리티에서 제공하는 기능에 대한 자세한 내용은 sssctl --help 를 실행합니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/System-Level_Authentication_Guide/index.html#sssctl (BZ#879333)에서 참조하십시오.

SSSD 설정 파일 검증

이전에는 SSSD(System Security Services Daemon)에서 /etc/sssd/sssd.conf 파일을 수동으로 확인하는 도구를 제공하지 않았습니다. 이로 인해 서비스를 시작하지 못한 경우 관리자가 구성 파일에서 문제를 찾아야 했습니다. 이번 업데이트에서는 구성 파일에서 문제를 찾기 위해 sssctl 명령의 config-check 옵션을 제공합니다. 또한 SSSD는 서비스가 시작된 후 구성 파일의 유효성을 자동으로 확인하고 잘못된 설정에 대한 수준 0 디버그 메시지를 표시합니다. (BZ#988207, BZ#1072458)

pki cert-find 명령에서 해지 문자열 지원

pki cert-find 명령이 향상되어 이제 문자열 형식의 취소 이유를 지원합니다. 결과적으로 해당 숫자 값 대신 Key_compromise 와 같은 문자열을 --revocationReason 옵션에 전달할 수 있습니다. 지원되는 해지 문자열 목록은 다음을 참조하십시오.

# pki cert-find --help

(BZ#1224365)

IdM에서 서버 또는 복제본 설치 중 개별 Directory Server 옵션 설정 지원

IdM(Identity Management) ipa-server-install 및 ipa-replica-install 명령이 향상되었습니다. 새로운 --dirsrv-config-file 매개변수를 사용하면 관리자가 IdM 설치 중 또는 이후에 사용되는 기본 Directory Server 설정을 변경할 수 있습니다. 예를 들어 언급 된 상황에서 보안 LDAP 바인딩을 비활성화하려면 다음을 수행합니다.

LDIF 형식의 설정으로 텍스트 파일을 생성합니다.

dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off

--dirsrv-config-file 매개변수와 파일을 설치 스크립트에 전달하여 IdM 서버 설치를 시작합니다.

# ipa-server-install --dirsrv-config-file filename.ldif

(BZ#825391)

IdM에서 `admin` 그룹 및 `ipaservers` 호스트 그룹 활성화

IdM(Identity Management)에는 두 개의 새 그룹이 도입되었습니다.

사용자 그룹 관리자 - 구성원은 IdM에서 전체 관리 권한이 있습니다.
호스트 그룹 ipaservers - 이 그룹의 호스트는 전체 관리 권한 없이 사용자가 복제본으로 승격할 수 있습니다. 모든 IdM 서버는 이 그룹의 멤버입니다. (BZ#1211595)

IdM에서 웹 UI에서 OTP 생성을 지원

이제 웹 UI에 호스트를 추가할 때 ID 관리(IdM)에서 OTP(한 번 암호) 생성을 지원합니다. 호스트 추가 대화 상자에서 OTP 생성 확인란을 선택합니다. 호스트를 추가한 후 창에 생성된 OTP가 표시됩니다. 이 암호를 사용하여 호스트에 도메인에 연결할 수 있습니다. 이 절차는 프로세스를 간소화하고 강력한 OTP를 제공합니다. OTP를 재정의하려면 호스트의 세부 정보 페이지로 이동하여, Action, Reset One-Time-Password 를 선택합니다. (BZ#1146860)

sudo 규칙을 만료된 것으로 표시하는 새로운 sss_cache 옵션

이번 업데이트에서는 SSSD(System Security Services Daemon)에서 sss_cache 명령이 향상되었습니다. -r 및 -R 옵션이 추가되어 하나 또는 모든 sudo 규칙이 만료된 것으로 표시됩니다. 이를 통해 관리자는 다음 sudo 조회에서 새 규칙을 강제로 새로 고칠 수 있습니다. sudo 규칙은 사용자 및 그룹 엔티티와 다른 알고리즘을 사용하여 새로 고쳐집니다. 메커니즘에 대한 자세한 내용은 sssd-sudo(5) 매뉴얼 페이지를 참조하십시오. (BZ#1031074)

새 패키지: custodia, python-jwcrypto

이번 업데이트에서는 custodia 패키지와 해당 종속성 python-jwcrypto 이 Red Hat Enterprise Linux 7에 추가되었습니다.

custodia는 시크릿을 요청하고 배포하는 HTTP 기반 파이프라인입니다. 시크릿 관리의 인증, 권한 부여, 요청 처리 및 스토리지 단계를 처리합니다. custodia는 현재 Red Hat Identity Management의 내부 하위 시스템으로만 지원됩니다.

python-jwcrypto 패키지는 Python에서 JavaScript 오브젝트 서명 및 암호화(JOSE) 웹 표준을 구현한 것입니다. 이는 Custodia의 종속성으로 설치됩니다. (BZ#1206288)

새로운 패키지: python-gssapi

이번 업데이트에서는 python-gssapi 패키지가 Red Hat Enterprise Linux 7에 추가되었습니다. Python 2 및 3과 호환되는 GSSAPI(Generic Security Services API)를 제공합니다. IdM(Identity Management)은 패키지를 python-krbV 및 python-pykerberos 대신 사용합니다. 이 경우 Python 2만 지원(BZ#1292139)

새로운 패키지: python-netifaces

이번 업데이트에서는 python-netifaces 패키지가 Red Hat Enterprise Linux 7에 추가되었습니다. 이 Python 모듈을 사용하면 운영 체제에서 시스템 네트워크 인터페이스에 대한 정보를 읽을 수 있습니다. Red Hat IdM(Identity Management)의 종속성으로 추가되었습니다. (BZ#1303046)

새로운 패키지: mod_auth_openidc

이번 업데이트에서는 mod_auth_openidc 패키지가 Red Hat Enterprise Linux 7에 추가되었습니다. Apache HTTP 서버가 SSO(Single Sign-On)의 OpenID Connect Relying Party 또는 OAuth 2.0 리소스 서버로 작동할 수 있습니다. 웹 애플리케이션은 이 모듈을 사용하여 Keycloak 오픈 소스 프로젝트 및 SSO(Red Hat Single Sign-On) 제품을 포함한 다양한 OpenID Connect 서버 구현과 상호 작용할 수 있습니다. (BZ#1292561)

IdM에서 DNS 위치 지원

이번 업데이트에서는 사이트 간 구현을 개선하기 위해 IdM(Identity Management) 통합 DNS 서버에 DNS 위치 관리에 대한 지원이 추가되었습니다. 이전 버전에서는 DNS 레코드를 사용하여 IdM 서버를 사용하는 클라이언트가 로컬 서버를 원격 지리적 위치에 있는 서버와 구분할 수 없었습니다. 이번 업데이트를 통해 DNS 검색을 사용하는 클라이언트가 가장 가까운 서버를 찾고 네트워크를 최적화된 방식으로 사용할 수 있습니다. 결과적으로 관리자는 IdM 웹 사용자 인터페이스 및 명령줄에서 DNS 위치를 관리하고 서버에 할당할 수 있습니다.

IdM에서 AD 도메인에 대한 외부 신뢰 설정 지원

Red Hat Enterprise Linux IdM(Identity Management)은 이제 포리스트에서 Active Directory(AD) 도메인에 대한 외부 신뢰 설정을 지원합니다. 외부 신뢰는 양도되지 않으며 AD 포리스트의 모든 도메인으로 설정할 수 있습니다. 이를 통해 전체 AD 포리스트를 신뢰하는 대신 신뢰할 수 있는 관계를 특정 도메인에 제한할 수 있습니다. (BZ#1314786)

IdM에서 대체 UPN으로 로그인 지원

Active Directory(AD) 포리스트에서는 다른 사용자 계정 이름(UPN) 접미사를 기본 도메인 이름 대신 사용자 이름과 연결할 수 있습니다. IdM(Identity Management)을 사용하면 신뢰할 수 있는 AD 포리스트의 사용자가 대체 UPN으로 로그인할 수 있습니다.

또한 SSSD(System Security Services Daemon)는 IdM 서버가 대체 UPN을 지원하는지 여부를 감지합니다. 지원되는 경우 SSSD는 클라이언트에서 이 기능을 자동으로 활성화합니다.

신뢰할 수 있는 AD 포리스트에 UPN 접미사를 추가하거나 제거하는 경우 IdM 마스터에서 ipa trust-fetch-domains 를 실행하여 IdM 데이터베이스의 신뢰할 수 있는 포지스트에 대한 정보를 새로 고칩니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Windows_Integration_Guide/index.html#UPN-in-a-trust (BZ#1287194, BZ#1211631)에서 참조하십시오.

IdM에서 하위 CA 지원

이전 버전에서는 IdM(Identity Management)이 IdM 도메인 내에서 발행된 모든 인증서에 서명하는 데 사용된 하나의 CA(인증 기관)만 지원했습니다. 이제 경량 하위 CA를 사용하여 인증서를 사용할 수 있는 용도를 보다 효과적으로 제어할 수 있습니다. 예를 들어, virtual Private Network(knative) 서버는 스마트 카드 CA와 같은 다른 하위 CA에서 발급한 인증서를 거부하고 해당 용도로 생성된 하위 CA에서 발급한 인증서만 수락하도록 구성할 수 있습니다.

이 기능을 지원하기 위해 certmonger로 인증서를 요청할 때 IdM 경량 하위 CA를 지정할 수 있습니다.

SSSD에서 자동 Kerberos 호스트 키탭 갱신 지원

이전에는 SSSD(System Security Services Daemon)에서 AD(Active Directory)의 Kerberos 호스트 키 탭 파일의 자동 갱신을 지원하지 않았습니다. 보안상의 이유로 만료되지 않은 암호 사용을 허용하지 않는 환경에서는 파일을 수동으로 갱신해야 합니다. 이번 업데이트를 통해 SSSD는 Kerberos 호스트 키 탭 파일을 자동으로 갱신할 수 있습니다.

SSSD는 시스템 계정 암호가 /etc/sssd/sssd.conf 파일의 ad_maximum_machine_account_password_age 매개변수에서 구성된 일 수보다 오래된지 한 번 확인합니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/System-Level_Authentication_Guide/index.html#sssd-auto-keytab-renewal (BZ#1310877)에서 참조하십시오.

IdM은 사용자 주요 별칭을 지원

이전에는 IdM(Identity Management)이 사용자 이름을 사용하여 인증만 지원했습니다. 그러나 일부 환경에서는 이메일 주소 또는 별칭 이름으로 인증해야 합니다. IdM이 개선되어 주요 별칭을 지원합니다. SSSD(System Security Services Daemon)도 이 기능을 지원하도록 업데이트되었습니다.

별칭 ualias 및 user@example.com 을 계정 사용자에게 추가하려면 다음 명령을 실행합니다.

# ipa user-add-principal user ualias user\\@example.com

별칭이 있는 경우 kinit 명령에 -C 옵션을 사용하고 엔터프라이즈 사용자 이름을 사용하는 경우 -E 옵션을 사용합니다.

# kinit -C ualias
# kinit -E user@example.com

(BZ#1328552, BZ#1309745)

SSSD 캐시 업데이트 성능 개선

이전에는 SSSD(System Security Services Daemon)에서 캐시 유효성 시간 초과가 지난 후 모든 캐시된 항목을 항상 업데이트했습니다. 이를 위해 클라이언트 및 서버의 리소스가 불필요하게 변경되지 않은 항목에 소비되었습니다. SSSD가 개선되어 캐시된 항목에 업데이트가 필요한지 확인합니다. 변경되지 않은 항목의 타임스탬프 값이 증가되고 새 SSSD 데이터베이스 /var/lib/sss/db/timestamps_$domain.ldb 에 저장됩니다. 이번 개선된 기능을 통해 서버 측에서 거의 변경되지 않는 항목(예: groups)의 성능이 향상됩니다. (BZ#1290380)

SSSD에서 IdM 스키마에 저장된 sudo 규칙 지원

이전에는 SSSD(System Security Services Daemon)에서 호환성 플러그인에서 생성한 ou=sudoers 컨테이너를 사용하여 sudo 규칙을 가져왔습니다. SSSD는 IdM(Identity Management) 디렉터리 스키마에 저장된 cn=sudo 컨테이너에서 sudo 규칙을 지원하도록 향상되었습니다.

이 기능을 활성화하려면 /etc/sssd/sssd.conf 파일에서 ldap_sudo_search_base 매개변수를 설정 해제합니다. (BZ#789477)

SSSD는 이제 높은 RID 번호가 있는 환경에서 AD 클라이언트의 ID 범위를 자동으로 조정합니다.

SSSD(System Security Services Daemon) 서비스에 포함된 자동 ID 매핑 메커니즘은 이제 ID 범위 도메인을 병합할 수 있습니다. SSSD의 ID 범위의 기본 크기는 200,000입니다. 대규모 AD(Active Directory) 설치에서는 RID(Active Directory 상대 ID)가 RID에 대응하기 위해 200,000을 늘리면 SSSD에서 지정한 ID 범위를 수동으로 조정해야 했습니다.

이번 개선된 기능을 통해 AD 클라이언트의 ID 매핑이 활성화된 경우 SSSD는 설명된 상황에서 ID 범위를 자동으로 조정합니다. 결과적으로 관리자는 ID 범위를 수동으로 조정할 필요가 없으며 대규모 AD 설치에서는 기본 ID 매핑 메커니즘이 작동합니다. (BZ#1059972)

새로운 sssctl 옵션 remove-cache

이번 업데이트에서는 sssctl 유틸리티에 remove-cache 옵션이 추가되었습니다. 옵션은 로컬 SSSD(System Security Services Daemon) 데이터베이스 콘텐츠를 제거하고 sssd 서비스를 다시 시작합니다. 이를 통해 관리자는 SSSD를 사용하여 정리된 상태에서 시작하여 캐시 파일을 수동으로 제거할 필요가 없습니다. (BZ#1007969)

레거시 IdM 클라이언트의 암호 변경

이전에는 Red Hat Enterprise Linux에 사용자가 레거시 IdM(Identity Management) 클라이언트에서 암호를 변경할 수 없는 slapi-nis 버전이 포함되어 있었습니다. 그 결과 slapi-nis 호환성 트리를 통해 클라이언트에 로그인한 사용자는 IdM 웹 UI를 사용하거나 AD(Active Directory)에서 직접 암호를 업데이트할 수 있었습니다. 결과적으로 사용자가 레거시 IdM 클라이언트에서 암호를 변경할 수 있는 패치가 적용됩니다. (BZ#1084018)

ldapsearch 명령은 모든 작동 특성을 반환할 수 있습니다.

LDAP 검색에서 IETF RFC 3673에 설명된 대로 모든 운영 속성을 반환할 수 있습니다. 검색에 + 문자를 사용하면 바인딩된 Distinguished Name(DN)에 액세스할 수 있는 모든 운영 속성이 생성됩니다. 반환된 결과는 적용 가능한 액세스 제어 지침(ACI)에 따라 제한될 수 있습니다.

예제 검색은 다음과 유사할 수 있습니다.

ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com

이 기능에 대한 자세한 내용은 https://tools.ietf.org/html/rfc3673 을 참조하십시오. (BZ#1290111)

로그 타임 스탬프의 정확도 증가

이번 업데이트에서는 기본적으로 Directory Server 로그의 타임 스탬프의 정확도를 1초에서 나노초 정확도로 높입니다. 이번 개선된 기능을 통해 Directory Server의 이벤트를 보다 자세히 분석할 수 있으며 외부 로그 시스템이 Directory Server에서 로그를 올바르게 재빌드하고 인터레이브할 수 있습니다.

이전 버전에서는 다음 예와 같이 로그 항목에 타임스탬프가 포함되어 있었습니다.

[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3

이번 업데이트를 통해 동일한 로그 항목에 더 정확한 타임스탬프가 포함됩니다.

[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3

이전 타임스탬프 형식으로 되돌리려면 cn=config 에서 nsslapd-logging-hr-timestamps-enabled 특성을 false 로 설정합니다. (BZ#1273549)

사용자 암호를 변경하면 이제 항상 `shadowLastChange` 속성이 업데이트됩니다.

이전에는 사용자 암호를 변경하는 일부 방법이 passwordExpirationTime 특성을 업데이트할 수 있었지만 shadowLastChange 속성은 업데이트할 수 없었습니다. Active Directory와 같이 Directory Server와 상호 작용할 수 있는 일부 시스템에서는 두 특성이 모두 업데이트될 것으로 예상되므로 이러한 동작으로 인해 동기화 오류가 발생할 수 있습니다. 이번 업데이트를 통해 사용자 암호를 변경하면 속성과 동기화 문제가 모두 업데이트되지 않습니다. (BZ#1018944)

`NS-slapd` 에서 감사 로그에 실패한 작업을 기록합니다.

이전에는 ns-slapd 가 디렉터리에 대한 성공적인 변경 사항만 기록했습니다. 이번 업데이트에서는 실패한 변경 사항, 콘텐츠 및 오류 발생 원인에 대한 지원도 추가되었습니다. 이를 통해 디렉터리 콘텐츠를 변경하지 못하는 애플리케이션을 더 쉽게 디버깅할 수 있을 뿐만 아니라 가능한 공격을 탐지할 수 있습니다. (BZ#1209094)

Directory Server 인스턴스의 상태를 표시하는 새로운 유틸리티

Directory Server는 이제 하나 또는 모든 인스턴스의 상태를 출력하는 status-dirsrv 명령줄 유틸리티를 제공합니다. 다음 명령을 사용하여 기존의 모든 인스턴스 목록을 가져옵니다.

status-dirsrv

특정 인스턴스의 상태를 표시하려면 명령에 인스턴스 이름을 추가합니다. 자세한 내용은 status-dirsrv(8) 매뉴얼 페이지 및 반환 코드 목록을 참조하십시오. (BZ#1209128)

IdM에서 최대 60개의 복제본 지원

이전에는 IdM 도메인당 IdM(Identity Management)이 최대 20개의 복제본을 지원했습니다. 이번 업데이트에서는 IdM 도메인당 60개의 복제본으로 지원 제한이 증가합니다.

자세한 복제본 토폴로지 권장 사항은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/replica-considerations.html#replica-topology-recommendations (BZ#1274524)에서 참조하십시오.

SSSD는 이제 `/etc/sssd/conf.d/`에서 선택적 *.conf 파일을 읽습니다.

SSSD(System Security Services Daemon)는 /etc/sssd/conf.d/ 디렉터리에서 *.conf 파일을 읽도록 향상되었습니다. 이를 통해 모든 클라이언트에서 일반 /etc/sssd/sssd.conf 파일을 사용하고 개별 클라이언트에 맞게 추가 설정 설정을 추가할 수 있습니다. SSSD는 먼저 공통 /etc/sssd/sssd.conf 파일을 읽은 다음 /etc/sssd/conf.d/ 에 있는 다른 파일의 알파벳순으로 읽습니다. 동일한 파일이 다른 파일에서 여러 번 나타나는 경우 데몬은 마지막 읽기 구성 매개변수를 사용합니다. (BZ#790113)

스키마에서 따옴표를 사용할 수 있는 새로운 옵션

이번 업데이트에서는 스키마 디렉터리의 따옴표를 사용하여 이전 스타일 스키마에 대한 지원을 추가하는 LDAP_SCHEMA_ALLOW_QUOTED 환경 변수가 도입되었습니다. 이 기능을 활성화하려면 /etc/sysconfig/dirsrv-INSTANCE 구성 파일에서 다음 변수를 설정합니다.

LDAP_SCHEMA_ALLOW_QUOTED=on

(BZ#1368484)

OpenLDAP에서 SHA2 암호 해시 지원

Red Hat Enterprise Linux 7.3의 OpenLDAP 서버는 이제 SHA2 지원을 위한 모듈을 제공합니다. pw-sha2 모듈을 로드하려면 /etc/openldap/slapd.conf 파일에 다음 행을 추가하십시오. moduleload pw-sha2

따라서 다음 해시를 사용하여 OpenLDAP에 암호를 저장할 수 있습니다.

SSHA-512
SSHA-384
SSHA-256
SHA-512
SHA-384
SHA-256(BZ#1292568)

pki cert-request-find 명령에서 완료된 취소 요청의 일련 번호를 표시

이번 업데이트를 통해 이제 pki 하위 명령 cert-request-find 가 완료된 해지 요청에 대해 취소된 인증서의 인증서 ID를 표시합니다. (BZ#1224642)

IdM 암호 정책에서 만료되지 않는 암호를 활성화합니다.

이전에는 IdM(Identity Management)의 모든 사용자 암호에 만료 날짜가 정의되어 있어야 했습니다. 이번 업데이트를 통해 관리자는 암호 정책 Max lifetime 값을 0 으로 설정하여 사용자 암호를 무기한 유효하도록 구성할 수 있습니다.

새 암호 정책 설정은 새 암호에만 적용됩니다. 변경 사항을 적용하려면 기존 사용자가 암호를 업데이트해야 합니다. (BZ#826790)

`IPA-getkeytab` 에서 IdM 서버를 자동으로 감지 가능

IdM(Identity Management) 서버에서 ipa-getkeytab 유틸리티를 실행할 때 더 이상 -s 옵션을 사용하여 서버 이름을 지정할 필요가 없습니다. 이 상황에서 ipa-getkeytab 유틸리티는 IdM 서버를 자동으로 감지합니다. (BZ#768316)

ipa-replica-manage 유틸리티의 하위 명령 강화

ipa-replica-manage 유틸리티가 개선되어 이제 다음 하위 명령에서 o=ipaca 백엔드를 지원합니다.

list-ruv
clean-ruv
abort-clean-ruv

또한 clean-dangling-ruv 하위 명령이 ipa-replica-manage 유틸리티에 추가되었습니다. 이를 통해 관리자는 RUV(복제 복제본 업데이트 벡터)를 자동으로 제거할 수 있습니다. (BZ#1212713)

samba 버전 4.4.4로 변경

samba 패키지가 업스트림 버전 4.4.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

GDBNS nsswitch 모듈은 이제 GDBNS 쿼리에 libwbclient 라이브러리를 사용합니다. 모듈을 사용하는 iPXENS 이름을 확인하려면 winbind 데몬이 실행 중이어야 합니다.
winbind 확장 그룹 옵션의 기본값은 1 에서 0 으로 변경되었습니다.
>-< get 명령의 -u 및 -g 옵션이 다른 Samba 명령의 매개변수와 일치하도록 -U 옵션으로 교체되었습니다. -U 옵션은 username[%password] 값을 허용합니다. 또한>-< getrc 구성 파일의 사용자 이름 및 암호 매개 변수는 user 매개변수로 교체되었습니다.
>-< get 명령 의 -P 매개변수가 제거되었습니다.
이제 Kerberos 인증 정보와 함께 CUPS 백엔드를 사용하여 인쇄하려면 samba-krb5-printing 패키지를 설치하고 CUPS를 적절하게 구성해야 합니다.
이제 Kerberos 자격 증명으로 CUPS 백엔드를 사용하여 Samba를 출력 서버로 구성할 수 있습니다. 이렇게 하려면 samba-krb5-printing 패키지를 설치하고 CUPS를 적절하게 구성합니다.
samba 을 설치할 때 Samba 및 IKEvDB 헤더 파일이 더 이상 자동으로 설치되지 않습니다.

Samba는>-<d ,nmbd 또는 winbind 데몬이 시작되면 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.

BaseOS 프로토콜 3.1.1과 함께 Linux 커널 CIFS 모듈을 사용하는 것은 현재 실험적이며 Red Hat에서 제공하는 커널에서는 기능을 사용할 수 없습니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.

AD DNS 업데이트를 방지하기 위한 새로운 net advertising join 옵션

net advertising join 명령은 이제 클라이언트를 Active Directory(AD)에 결합할 때 시스템 이름으로 DNS 서버를 업데이트할 수 없는 --no-dns-updates 옵션을 제공합니다. 이 옵션을 사용하면 DNS 서버가 클라이언트 업데이트를 허용하지 않으므로 DNS 업데이트가 오류 메시지와 함께 실패할 경우 관리자가 DNS 등록을 바이패스할 수 있습니다. (BZ#1263322)

새 realm join 옵션을 사용하여 iPXE 이름을 설정합니다.

realm join 명령은 이제 개별 name을 설정하기 위해 --ECDHE- name 옵션을 제공합니다. 이를 통해 관리자는 호스트 이름과 다른 이름을 사용하여 시스템에 도메인에 참여할 수 있습니다. (BZ#1293390)

gRPCTool의 이름이 KRATool로 변경됨

인증서 시스템(CS)의 DRM(Data recovering Manager) 구성 요소는 이제 KRA(Key recovering Authority)라고 합니다. 이러한 변경과 일관성을 위해 이 업데이트는 gRPCTool 유틸리티의 이름을 KRATool로 변경합니다. 전환을 용이하게 하기 위해 호환성 심볼릭 링크가 제공됩니다. 링크는 예를 들어 gRPCTool을 참조하는 스크립트가 계속 작동하도록 하는 데 도움이 됩니다. (BZ#1305622)

OpenJDK 1.8.0에 대한 명시적 종속성

현재 PKI 코드는 OpenJDK 1.8.0에서만 작동되도록 확인되었습니다. 이전에는 PKI가 대체 옵션에서 제공하는 일반 java 링크에 의존했으며 링크가 OpenJDK 1.8.0을 가리키는 것으로 가정합니다. 대안 설정은 다양한 이유로 변경될 수 있으므로 PKI에 일부 문제가 발생할 수 있습니다.

PKI가 항상 올바르게 작동하는지 확인하기 위해 PKI가 다른 Java 설치에 관계없이 항상 OpenJDK 1.8.0의 최신 업데이트를 가리키는 jre_1.8.0_openjdk 링크에 보다 구체적으로 종속되도록 변경되었습니다. (BZ#1347466)

**ipa *-find** 명령에서 더 이상 멤버 항목을 표시하지 않음

IdM(Identity Management) ipa *-find 명령의 새로운 기본 설정에서는 더 이상 호스트 그룹과 같은 멤버 항목이 표시되지 않습니다. 다수의 멤버 항목을 해결하는 것은 리소스 집약적이며 명령 출력은 길고 읽을 수 없습니다. 그 결과 기본값이 변경되었습니다. 멤버 항목을 표시하려면 ipa *-find 명령에 --all 옵션을 사용합니다. 예를 들면 다음과 같습니다.

# ipa hostgroup-find --all

(BZ#1354626)

인증서 시스템에서 CRL의 시작 ID 설정을 지원

Red Hat Certificate System은 /etc/pki/default.cfg 파일의 pki_ca_starting_crl_number 옵션을 사용하여 인증서 해지 목록(CRL)의 시작 ID 설정을 지원합니다. 이를 통해 관리자는 이미 인증서 시스템에 발급된 CRL(인증 기관)을 마이그레이션할 수 있습니다. (BZ#1358439)

인증서에 발행자 DN을 추가하는 새로운 pki-server 하위 명령

인증서 서버의 향상된 기능을 통해 발급자 DN을 새 인증서 레코드에 저장하고 REST API 인증서 검색을 통해 발급자 DN으로 인증서 필터링을 지원할 수 있습니다. 발급자 DN을 기존 인증서 레코드에 추가하려면 다음을 실행합니다.

# pki-server db-upgrade

(BZ#1305992)

인증서 시스템에서 이전 CRL을 제거

이전 버전에서는 인증서 시스템에서 파일 기반 인증서 해지 목록(CRL) 게시 기능이 활성화된 경우 서비스는 이전 CRL 파일을 제거하지 않고 정기적으로 새 CRL 파일을 생성했습니다. 결과적으로 인증서 시스템을 실행하는 시스템이 결국 공간이 부족할 수 있었습니다. 이 문제를 해결하기 위해 /etc/pki/pki-tomcat/ca/CS.cfg 파일에 두 가지 새로운 구성 옵션이 추가되었습니다.

maxAge - 파일이 만료되고 제거되는 일 수를 설정합니다. 기본값은 0 (없음)입니다.
maxFullCRLs - 유지할 최대 CRL 수를 설정합니다. 새 파일이 게시되면 가장 오래된 파일이 제거됩니다. 기본값은 0 (제한 없음)입니다.

결과적으로 인증서 시스템이 이전 CRL 파일을 처리하는 방법을 구성할 수 있습니다. (BZ#1327683)

복제를 위한 `pkispawn` 구성에 인증서 닉네임 이름 지정

복제 설치 중에 복제는 pkispawn 구성 파일의 pki_clone_pkcs12_path 매개변수에 지정된 PKCS #12 파일에서 시스템 인증서를 가져옵니다. 이전에는 PKCS #12 파일에 인증서의 닉네임을 지정할 필요가 없었습니다.

새로운 IPA 요구 사항으로 인해 인증서 가져오기 메커니즘을 변경해야 했습니다. 이번 업데이트를 통해 적절한 신뢰 속성을 사용하여 인증서를 가져오려면 다음 매개변수에 CA 서명 인증서의 닉네임 이름 및 PKCS #12 파일의 감사 서명 인증서를 지정해야 합니다.

pki_ca_signing_nickname
pki_audit_signing_nickname (BZ#1321491)

기존 CA 인증서 및 키를 사용하여 인증서 시스템 배포

이전에는 인증서 시스템에서 CA(인증 기관) 인증서에 대한 키를 내부적으로 생성했습니다. 이번 업데이트를 통해 키 생성은 선택 사항이며, 이제 PKCS#12 파일 또는 HSM(하드웨어 보안 모듈)을 사용하여 제공할 수 있는 기존 CA 인증서 및 키 재사용을 지원합니다. 이 메커니즘을 통해 관리자는 기존 CA에서 인증서 시스템으로 마이그레이션할 수 있습니다. (BZ#1289323)

클라이언트 역할을 하는 인스턴스의 별도의 암호화 목록

이 기능 이전에는 Certificate System 인스턴스가 서버 및 클라이언트 역할을 할 때 server.xml 파일에 지정된 암호화 목록이 사용되었습니다. 경우에 따라 특정 암호가 필요하지 않거나 작동하지 않을 수 있습니다. 이 업데이트를 통해 관리자는 두 개의 인증서 시스템 하위 시스템 간 통신을 위해 서버가 클라이언트 역할을 할 때 허용되는 SSL 암호화 목록을 지정할 수 있으므로 관리자에게 보다 엄격하게 제어할 수 있습니다. 이 암호화 방식 목록은 서버에 저장된 목록과 별개입니다. (BZ#1302136)

`BEGIN/END PKCS7` 라벨을 사용한 PKCS #7 인증서 체인 지원

이제 PKI 툴은 BEGIN/ENDCERTIFICATE CHAIN 레이블 대신 BEGIN/END PKCS7 라벨을 사용하여 PKCS #7 인증서 체인을 허용하고 생성합니다. (BZ#1353005)

krb5 버전 1.14.1로 변경

krb5 패키지가 업스트림 버전 1.14.1로 업데이트되어 여러 가지 개선 사항, 새로운 기능 및 버그 수정을 제공합니다. 특히 보안을 강화하기 위해 인증 표시기 지원을 구현합니다. 자세한 내용은 http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html (BZ#1292153)에서 참조하십시오.

Kerberos 클라이언트에서 구성 스니펫 지원

/etc/krb5.conf 파일에서 /etc/krb5.conf.d/ 디렉터리에서 구성 스니펫을 로드합니다. 이를 통해 기존 배포 구성 표준 및 암호화 정책 관리를 준수할 수 있습니다. 결과적으로 사용자는 구성 파일을 분할하고 스니펫을 /etc/krb5.conf.d/ 디렉터리에 저장할 수 있습니다. (BZ#1146945)

IdM 버전 4.4.0으로 업데이트

ipa* 패키지가 업스트림 버전 4.4.0으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

더 빠른 프로비저닝, Kerberos 인증, 많은 멤버가 포함된 사용자 및 그룹 작업과 같은 IdM(Identity Management) 서버 성능이 향상되었습니다.
분기 사무실의 클라이언트가 로컬 서버에 연결할 수 있도록 하고 원격 서버로 돌아갈 수 있는 DNS 위치.
중앙 복제 토폴로지 관리.
지원되는 복제 파트너 수가 20개에서 60개의 복제본으로 증가했습니다.
OTP(한시 암호) 및 RADIUS에 대한 인증 표시기 지원 호스트 및 서비스에 대해 개별적으로 인증 지표를 활성화할 수 있습니다.
관리자는 하위 CA 지원을 통해 개별 인증 기관을 생성하여 특정 서비스에 대한 인증서를 발행할 수 있습니다.
관리자는 AD(Active Directory) 사용자에 대한 스마트 카드 지원을 강화하여 AD 또는 IdM 재정의에 스마트 카드 인증서를 저장할 수 있습니다.
IdM 서버 API 버전 관리.
AD를 통한 외부 신뢰 설정 지원
대체 AD 사용자 주체 이름(UPN) 접미사. (BZ#1292141)

SSSD에서 AD 서버에서 CloudEvent 맵을 가져올 수 있음

/etc/sssd/sssd.conf 파일의 [domain] 섹션에서 CloudEvent _provider=ad 설정을 사용할 수 있습니다. 이 설정을 사용하면 SSSD(System Security Services Daemon)가 AD(Active Directory) 서버에서 CloudEvent 맵을 가져옵니다.

이전 버전에서는 AD에 CloudEvent 맵을 저장해야 할 때 AD 서버 관리자가 CloudEvent _provider=ldap 설정을 사용하고 bind 메서드, 검색 기반 및 기타 매개변수를 포함하여 LDAP 공급자를 수동으로 구성해야 했습니다. 이번 업데이트를 통해 sssd.conf 에서 CloudEvent _provider=ad 를 설정하는 경우에만 필요합니다.

SSSD는 AD에 저장된 CloudEvent 맵이 RFC2307에 정의된 형식을 따를 것으로 예상합니다. https://tools.ietf.org/html/rfc2307 (BZ#874985)

`dyndns_server` 옵션을 사용하면 DNS 서버를 지정하여 동적 DNS 업데이트를 받을 수 있습니다.

SSSD(System Security Services Daemon)는 이제 /etc/sssd/sssd.conf 파일에서 dyndns_server 옵션을 지원합니다. 옵션은 dyndns_update 옵션이 활성화될 때 DNS 레코드로 자동 업데이트되는 DNS 서버를 지정합니다.

옵션은 예를 들어 DNS 서버가 ID 서버와 다른 환경에서 유용합니다. 이 경우 dyndnds_server 를 사용하여 SSSD에서 지정된 DNS 서버의 DNS 레코드를 업데이트할 수 있습니다. (BZ#1140022)

SSSD에서 이제 `full_name_format=%1$s` 를 사용하여 신뢰할 수 있는 AD 사용자의 출력 이름을 단축으로 설정

이전 버전에서는 신뢰 설정에서 /etc/sssd/sssd.conf 파일의 full_name_format 옵션에 대한 기본값을 사용하여 특정 SSSD(System Security Services Daemon) 기능이 필요했습니다. full_name_format=%1$s 를 사용하여 신뢰할 수 있는 AD(Active Directory) 사용자의 출력 형식을 간단한 이름으로 설정해도 다른 기능이 손상되었습니다.

이번 업데이트에서는 사용자 이름의 내부 표현이 출력 형식과 분리됩니다. 이제 다른 SSSD 기능을 손상시키지 않고 full_name_format=%1$s 를 사용할 수 있습니다.

sssd.conf 에서 default_domain_suffix 옵션이 사용되는 경우를 제외하고 입력 이름은 계속 검증되어야 합니다. (BZ#1287209)

이제 문서에 AD DNS 호스트 이름을 사용하여 IdM 클라이언트의 설정 및 제한에 대해 설명합니다.

IdM(Identity Management) 문서가 개선되어 이제 신뢰할 수 있는 AD(Active Directory) 도메인의 DNS 네임 스페이스에 있는 IdM 클라이언트 구성에 대해 설명합니다. 이는 권장되는 구성이 아니며 몇 가지 제한 사항이 있습니다. 예를 들어 SSO(Single Sign-On) 대신 암호 인증만 이러한 클라이언트에 액세스할 수 있습니다. Red Hat은 IdM 호스트 이름을 통해 AD가 소유하고 IdM 클라이언트에 액세스하는 것과 다른 DNS 영역에 항상 IdM 클라이언트를 배포하는 것이 좋습니다.

자세한 내용은 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/ipa-in-ad-dns.html 에서 참조하십시오. (BZ#1320838)

인증서 시스템에서 개별 설치에 대한 SSL 암호화 설정 지원

이전 버전에서는 기존 Certificate Server에 설치 중에 사용된 기본 암호와 겹치지 않은 사용자 지정 암호화 세트가 있는 경우 기존 인스턴스와 함께 작동하도록 새 인스턴스를 설치할 수 없었습니다. 이번 업데이트를 통해 인증서 시스템을 사용하면 2단계 설치를 사용하여 SSL 암호를 사용자 지정할 수 있으므로 이 문제를 방지할 수 있습니다. 인증서 시스템 인스턴스 설치 중 암호를 설정하려면 다음을 수행합니다.

1. pki_skip_configuration=True 옵션을 포함하는 배포 구성 파일을 준비합니다.

2. 배포 구성 파일을 pkispawn 명령에 전달하여 설치의 초기 부분을 시작합니다.

3. /var/lib/pki/<instance>/conf/server.xml 파일의 sslRangeCiphers 옵션에 암호를 설정합니다.

4. 배포 구성 파일에서 pki_skip_configuration=True 옵션을 pki_skip_installation=True 로 바꿉니다.

5. 동일한 pkispawn 명령을 실행하여 설치를 완료합니다. (BZ#1303175)

복제본 릴리스 시간 초과 구성을 위한 새로운 속성

여러 마스터가 동시에 업데이트를 수신하는 다중 마스터 복제 환경에서는 단일 마스터가 복제본에 대한 독점적 액세스를 확보하고 느린 네트워크 연결과 같은 문제로 인해 매우 오랜 시간 동안 이를 유지할 수 있었습니다. 이 기간 동안 다른 마스터가 동일한 복제본에 액세스하지 못하도록 차단되어 복제 프로세스 속도가 저하되었습니다.

이번 업데이트에서는 새 구성 속성인 nsds5ReplicaReleaseTimeout 이 추가되어 시간 초과를 초 단위로 지정할 수 있습니다. 지정된 시간 초과 기간이 통과되면 마스터에서 복제본을 해제하여 다른 마스터가 액세스할 수 있도록 하고 해당 업데이트를 보낼 수 있습니다. (BZ#1349571)