검색

54장. 인증 및 상호 운용성

download PDF

sudo 예기치 않게 그룹 조회를 수행할 때 액세스를 거부합니다.

이 문제는 이러한 조건을 모두 충족하는 시스템에서 발생합니다.
  • 그룹 이름은 파일 또는 sss 와 같은 여러 NNSS(Name Service Switch) 소스에서 사용할 수 있는 sudoers 규칙에 구성되어 있습니다.
  • NSS 우선순위는 로컬 그룹 정의로 설정됩니다. /etc/nsswitch.conf 파일에 다음 행이 포함된 경우 적용됩니다.
sudoers: files sss
  • match_group_by_gid 라는 sudo Defaults 옵션이 true 로 설정됩니다. 이는 옵션의 기본값입니다.
NSS 소스 우선 순위로 인해 sudo 유틸리티에서 지정된 그룹의 GID를 조회하려고 할 때 sudo 는 로컬 그룹 정의만 설명하는 결과를 받습니다. 따라서 사용자가 원격 그룹의 멤버이지만 로컬 그룹이 아닌 경우 sudoers 규칙이 일치하지 않으며 sudo 는 액세스를 거부합니다.
이 문제를 해결하려면 다음 중 하나를 선택합니다.
  • sudoers 에 대해 match_group_by_gid 기본값을 명시적으로 비활성화합니다. /etc/sudoers 파일을 열고 다음 행을 추가합니다.
Defaults !match_group_by_gid
  • 파일에서 sss NSS 소스의 우선 순위를 지정하도록 NSS를 구성합니다. /etc/nsswitch.conf 파일을 열고 파일 앞에 sss 가 나열되어 있는지 확인합니다.
sudoers: sss files
이렇게 하면 sudo 가 원격 그룹에 속한 사용자에 대한 액세스를 허용합니다. (BZ#1293306)

KCM 인증 정보 캐시가 단일 인증 정보 캐시의 많은 인증 정보에 적합하지 않음

인증 정보 캐시에 인증 정보가 너무 많으면 klist 와 같은 Kerberos 작업이 sssd-kcm 구성 요소와 sssd-secrets 구성 요소 간에 데이터를 전송하는 데 사용되는 버퍼의 하드 코딩된 제한으로 인해 실패합니다.
이 문제를 해결하려면 /etc/sssd/sssd.conf 파일의 [kcm] 섹션에 ccache_storage = memory 옵션을 추가합니다. 이렇게 하면 kcm 응답자가 자격 증명 캐시를 영구적으로 저장하지 않고 메모리에 저장하도록 지시합니다. 이 작업을 수행하면 시스템을 다시 시작하거나 sssd-kcm 가 인증 정보 캐시를 지웁니다. (BZ#1448094)

sssd-secrets 구성 요소가 로드 상태에 있을 때 충돌

sssd-secrets 구성 요소에서 많은 요청을 수신하면 상황은 sssd-secrets 가 예기치 않게 종료되는 NNSS(Network Security Services) 라이브러리에서 버그를 트리거합니다. 그러나 systemd 서비스는 다음 요청 시 sssd-secrets 를 다시 시작하므로 서비스 거부는 일시적인 것입니다. (BZ#1460689)

SSSD는 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않습니다.

지정된 인증서가 동일한 우선 순위와 여러 인증서 일치 규칙과 일치하는 경우 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 이 문제를 해결하려면 LDAP 필터가 | (또는) Operator와 연결된 개별 규칙의 필터로 구성된 단일 인증서 일치 규칙을 사용합니다. 인증서 일치 규칙의 예는 sss-certamp(5) 매뉴얼 페이지를 참조하십시오. (BZ#1447945)

SSSD는 ID 덮어쓰기에서 고유한 인증서만 조회할 수 있습니다.

여러 ID 재정의에 동일한 인증서가 포함된 경우 SSSD(System Security Services Daemon)가 인증서와 일치하는 사용자에 대한 쿼리를 확인할 수 없습니다. 이러한 사용자를 검색하려고 하면 사용자를 반환하지 않습니다. 사용자 이름 또는 UID를 사용하여 사용자를 조회하는 것은 예상대로 작동합니다. (BZ#1446101)

ipa-advise 명령은 스마트 카드 인증을 완전히 구성하지 않습니다.

ipa-advise config-server-for-smart-card-authipa-advise config-client-for-smart-card-auth 명령은 스마트 카드 인증을 위해 IdM(Identity Management) 서버 및 클라이언트를 완전히 구성하지 않습니다. 그 결과 ipa-advise 명령이 생성한 스크립트를 실행한 후 스마트 카드 인증이 실패합니다. 이 문제를 해결하려면 Linux 도메인 ID, 인증 및 정책 가이드의 개별 사용 사례에 대한 수동 단계를 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html (BZ#1455946)

libwbclient 라이브러리가 Red Hat Enterprise Linux 7.4에서 호스팅되는 Samba 공유에 연결하지 못했습니다.

Samba와 SSSD(System Security Services Daemon) Winbind 플러그인 구현의 인터페이스가 변경되었습니다. 그러나 SSSD에서는 이러한 변경 사항이 없습니다. 결과적으로 Winbind 데몬 대신 SSSD libwbclient 라이브러리를 사용하는 시스템은 Red Hat Enterprise Linux 7.4에서 실행되는 Samba에서 제공하는 공유에 액세스하지 못합니다. 해결 방법을 사용할 수 없으며 Winbind 데몬을 실행하지 않고 libwbclient 라이브러리를 사용하는 경우 Red Hat Enterprise 7.4로 업그레이드하지 않는 것이 좋습니다. (BZ#1462769)

인증서 시스템 ubsystems TLS_ECDHE_RSA_* 암호 및 특정 HSM과의 통신 문제가 발생합니다.

TLS_ECDHE_RSA_* 암호화가 활성화된 동안 특정 HSM을 사용하면 하위 시스템에서 통신 문제가 발생합니다. 이 문제는 다음 시나리오에서 발생합니다.
  • CA가 설치되어 있고 두 번째 하위 시스템이 설치되고 보안 도메인으로 CA에 연결하려고 하면 설치에 성공할 수 없습니다.
  • CA에서 인증서 등록을 수행하는 동안 아카이브가 필요한 경우 CA는 KRA와 동일한 통신 문제가 발생합니다. 이 시나리오는 이전 암호가 설치에 일시적으로 비활성화된 경우에만 발생할 수 있습니다.
이 문제를 해결하려면 가능한 경우 TLS_ECDHE_RSA_* 암호를 끕니다. Perfect Forward Secrecy는 TLS_ECDHE_RSA_* 암호를 사용하여 추가 보안을 제공하지만 각 SSL 세션은 설정하는 데 약 3 배 더 오래 걸립니다. 또한 기본 TLS_RSA_* 암호화는 인증서 시스템 작업에 적합합니다. (BZ#1256901)
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.