Red Hat Summit37장. 인증 및 상호 운용성
컨테이너의 SSSD 사용 가능
컨테이너의 SSSD(System Security Services Daemon)는 Red Hat Enterprise Linux Atomic Host 인증 하위 시스템을 Red Hat Identity Management 및 Microsoft Active Directory와 같은 중앙 ID 공급자에 연결할 수 있도록 기술 프리뷰로 제공됩니다.
이 새 이미지를 설치하려면 atomic install rhel7/sssd 명령을 사용합니다. (BZ#1200143)
AD 및 LDAP sudo 공급자 사용
Active Directory(AD) 공급자는 AD 서버에 연결하는 데 사용되는 백엔드입니다. Red Hat Enterprise Linux 7.2부터는 LDAP 공급자와 함께 AD sudo 공급자를 사용하는 것이 기술 프리뷰로 지원됩니다. AD sudo 공급자를 활성화하려면
sssd.conf 파일의 [domain] 섹션에 sudo_provider=ad 설정을 추가합니다. (BZ#1068725)
Identity Management에서 DNSSEC를 기술 프리뷰로 이용 가능
통합된 DNS가 있는 ID 관리 서버는 이제 DNS 프로토콜의 보안을 강화하기 위한 DNS로의 확장 기능인 DNS Security Extensions(DNS Security Extensions)를 지원합니다. Identity Management 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.
DNSSEC로 DNS 영역을 보호하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.
- DNSSEC 운영 사례, 버전 2: http://tools.ietf.org/html/rfc6781#section-2
- 보안 DNS(Domain Name System) 배포 가이드: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC 키 롤오버 타이밍 고려 사항:
통합된 DNS가 있는 ID 관리 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 Red Hat Enterprise Linux 네트워킹 가이드: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices 에 설명된 이름 지정 권장 사례에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다. (BZ#1115294)
Directory Server에서 사용할 수 있는 Nunc Customerns 이벤트 프레임워크
여러 동시 연결을 처리하는 새로운 Nunc Movens 이벤트 프레임워크가 기술 프리뷰로 추가되었습니다. 프레임워크를 사용하면 성능 저하 없이 수천 개의 활성 연결을 지원할 수 있습니다. 이는 기본적으로 비활성화되어 있습니다. (BZ#1206301)
서비스로 시크릿 지원
이번 업데이트에서는 SSSD(System Security Services Daemon)에 대한 기술 프리뷰로 응답자
시크릿 을 추가합니다. 이 응답자를 사용하면 애플리케이션에서 Custodia API를 사용하여 UNIX 소켓을 통해 SSSD와 통신할 수 있습니다. 이를 통해 SSSD는 로컬 데이터베이스에 시크릿을 저장하거나 원격 Custodia 서버로 전달할 수 있습니다. (BZ#1311056)
IdM 웹 UI를 사용하면 스마트 카드 로그인 가능
IdM(Identity Management) 웹 UI를 사용하면 스마트 카드를 사용하여 로그인할 수 있습니다. 이 기능은 실험적 기능이며 지원되지 않습니다. (BZ#1317379, BZ#1346883, BZ#1343422)
ID 관리 JSON-RPC API를 기술 프리뷰로 사용 가능
IdM(Identity Management)에 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저도 기술 프리뷰로 제공합니다.
Red Hat Enterprise Linux 7.3에서는 여러 버전의 API 명령을 사용하도록 IdM API가 개선되었습니다. 이전에는 기능 개선이 호환되지 않는 방식으로 명령의 동작을 변경할 수 있었습니다. 이제 IdM API가 변경되는 경우에도 기존 툴 및 스크립트를 계속 사용할 수 있습니다. 이를 통해 다음을 수행할 수 있습니다.
- 관리자는 관리 클라이언트보다 서버에서 이전 버전 또는 이후 버전의 IdM을 사용합니다.
- IdM 버전이 서버에서 변경되는 경우에도 특정 버전의 IdM 호출을 사용하는 개발자입니다.
모든 경우에서 한 쪽이 예를 들어 기능에 대한 새로운 옵션을 도입하는 최신 버전을 사용하는 경우와 관계없이 서버와의 통신이 가능합니다.
API 사용에 대한 자세한 내용은 https://access.redhat.com/articles/2728021 (BZ#1298286)에서 참조하십시오.
