38장. 인증 및 상호 운용성
AD 및 LDAP sudo 공급자 사용
AD(Active Directory) 공급자는 AD 서버에 연결하는 데 사용되는 백엔드입니다. Red Hat Enterprise Linux 7.2부터는 LDAP 공급자와 함께 AD sudo 공급자를 사용하는 기술 프리뷰로 사용할 수 있습니다. AD sudo 공급자를 활성화하려면
sssd.conf
파일의 [domain] 섹션에 sudo_provider=ad
설정을 추가합니다. (BZ#1068725)
IdM에서 기술 프리뷰로 DNSSEC 사용 가능
통합된 DNS가 있는 IdM(Identity Management) 서버는 이제 DNS 프로토콜의 보안을 강화하기 위해 DNS에 대한 확장 세트인 DNSSEC(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키가 자동으로 생성되고 순환됩니다.
DNSSEC로 DNS 영역을 보호하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.
- DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
- DNS(Secure Domain Name System) 배포 가이드: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
통합된 DNS가 있는 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 Red Hat Enterprise Linux 네트워킹 가이드에 설명된 권장 이름 지정 방법에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices. (BZ#1115294)
ID 관리 JSON-RPC API 기술 프리뷰로 사용 가능
IdM(Identity Management)에 API를 사용할 수 있습니다. 또한 IdM은 API 브라우저를 기술 프리뷰로 제공합니다.
Red Hat Enterprise Linux 7.3에서는 여러 버전의 API 명령을 사용하도록 IdM API가 개선되었습니다. 이전에는 기능 개선이 호환되지 않는 방식으로 명령 동작을 변경할 수 있었습니다. 이제 IdM API가 변경되더라도 기존 툴과 스크립트를 계속 사용할 수 있습니다. 이를 통해 다음을 수행할 수 있습니다.
- 관리자는 관리 클라이언트보다 서버에서 이전 또는 이후 버전의 IdM을 사용할 수 있습니다.
- 개발자는 IdM 버전이 서버에서 변경되더라도 특정 버전의 IdM 호출을 사용합니다.
모든 경우에 서버와의 통신은 예를 들어 한 쪽이 기능에 대한 새로운 옵션을 도입하는 최신 버전인지 여부에 관계없이 가능합니다.
API 사용에 대한 자세한 내용은 https://access.redhat.com/articles/2728021 (BZ#1298286)을 참조하십시오.
이제 Custodia 보안 서비스 공급자를 사용할 수 있습니다.
이제 시크릿 서비스 공급자인 Custodia를 사용할 수 있습니다. custodia는 키 또는 암호와 같은 시크릿의 프록시 역할을 합니다.
자세한 내용은 http://custodia.readthedocs.io 의 업스트림 문서를 참조하십시오. (BZ#1403214)
컨테이너화된 ID 관리 서버를 기술 프리뷰로 사용 가능
rhel7/ipa-server
컨테이너 이미지는 기술 프리뷰 기능으로 사용할 수 있습니다. rhel7/sssd
컨테이너 이미지는 이제 완전히 지원됩니다.
자세한 내용은 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services 을 참조하십시오. (BZ#1405325, BZ#1405326)