Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

5장. 인증 및 상호 운용성

인증서 시스템에서 기본적으로 강력한 암호 지원

이번 업데이트를 통해 FIPS(Federal Information Processing Standard)를 준수하는 다음과 같은 추가 암호가 인증서 시스템에서 기본적으로 활성화됩니다.
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
활성화된 암호의 전체 목록은 다음을 입력합니다. 
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
Copy to Clipboard Toggle word wrap
인증서 시스템과 함께 HSM(Hardware Security Module)을 사용하는 경우 지원되는 암호화에 대한 HSM 설명서를 참조하십시오. (BZ#1550786)

samba 버전 4.8.3으로 변경

samba 패키지가 업스트림 버전 4.8.3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
  • >-<d 서비스는 더 이상 Active Directory 도메인 컨트롤러 및 NT4 기본 도메인 컨트롤러의 사용자 및 그룹 정보를 직접 쿼리하지 않습니다. security 매개 변수가 advertising 또는 domain 설정된 설치에는 이제 winbindd 서비스가 실행 중이어야 합니다.
  • winbindd 프로세스 내에서 신뢰할 수 있는 도메인의 글로벌 목록에 대한 종속성이 감소되었습니다. 글로벌 목록이 필요하지 않은 설치의 경우 /etc/ECDHE/ECDHE.conf 파일에서 winbind scan trusted domains 매개변수를 no 로 설정합니다. 자세한 내용은>-< .conf(5) 매뉴얼 페이지의 매개변수 설명을 참조하십시오.
  • wbinfo -m --verbose 명령의 출력에 표시된 신뢰 속성이 명령이 실행되는 시스템의 상태를 올바르게 반영하도록 변경되었습니다.
  • 이제 idmap_rididmap_autorid ID 매핑 백엔드를 사용할 때 단방향 신뢰 사용자의 인증이 올바르게 작동합니다.
Samba는>-<d ,nmbd 또는 winbind 데몬이 시작되면 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.
주요 변경 사항에 대한 자세한 내용은 https://www.samba.org/samba/history/samba-4.8.0.html 를 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오. (BZ#1558560)

Directory Server 버전 1.3.8.4로 업데이트

389-ds-base 패키지가 업스트림 버전 1.3.8.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 중요한 변경 사항의 전체 목록은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.

버전 10.5.9로 재기반 인증서 시스템

pki-core 패키지가 업스트림 버전 10.5.9로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. (BZ#1557569)

jss 버전 4.4.4로 변경

jss 패키지가 업스트림 버전 4.4.4로 업그레이드되어 이전 버전에 비해 여러 가지 버그 수정 및 개선 사항을 제공합니다. (BZ#1557575)

CloudEventFPopClient 유틸리티는 주요 아카이브없이 InstallPlanF 요청을 지원합니다.

이 향상된 기능을 통해 사용자는 VMDKFPopClient 유틸리티를 사용할 때 키 아카이브 옵션 없이 인증서 요청 메시지 형식(CRMF) 요청을 생성할 수 있습니다. 이 기능은 더 이상 KRA(Key recovering Authority) 인증서가 필요하지 않기 때문에 유연성이 향상됩니다. 이전 버전에서는 사용자가 -b transport_certificate_file 옵션을 10.0.0.1FPopClient에 전달하지 않은 경우 유틸리티에서 transport.txt 파일에 저장된 KRA 전송 인증서를 자동으로 사용했습니다. 이번 업데이트를 통해 -b transport_certificate_file 이 지정되지 않은 경우 인증서 시스템은 키 아카이브를 사용하지 않고 요청을 생성합니다. (BZ#1585866)

인증서 시스템은 ECC 인증서로 루트 CA를 설정할 때 ECC 프로필을 자동으로 적용

이번 업데이트에서는 pkispawn 유틸리티를 사용하여 ECC 프로필로 새 루트 CA를 설정할 때 ECC 프로필을 자동으로 적용하도록 인증서 시스템이 향상되었습니다. 결과적으로 관리자는 루트 CA를 설정할 때 pkispawn 에 전달된 구성 파일의 해결 방법으로 ECC 인증서에 대한 프로필 덮어쓰기 매개변수를 더 이상 설정할 필요가 없습니다. (BZ#1550742)

인증서 시스템에서 서버 인증서에 SAN 확장 추가

이번 업데이트를 통해 Certificate System은 기본적으로 SAN(Subject Alternative Name) 확장을 서버 인증서에 추가하고 인증서의 CN(Common Name)으로 설정합니다. (BZ#1562423)

X.509 인증서 및 CRL을 생성하는 낮은 수준의 API가 JSS에 추가되었습니다.

이러한 향상된 기능으로 X.509 인증서 및 CRD(인증서 취소 목록)를 Java Security Services(JSS)에 생성하는 데 사용할 수 있는 하위 수준 API가 추가되었습니다. (BZ#1560682)

pcsc-lite-ccid 드라이버에서 새로운 스마트 카드 리더 지원

이전에는 pcsc-lite-ccid 드라이버가 특정 스마트 카드 리더를 감지하지 못했습니다. 이번 개선된 기능에는 이러한 리더의 USB-ID 값이 드라이버에 추가됩니다. 결과적으로 pcsc-lite-ccid 는 이제 설명된 시나리오에서 스마트 카드 리더를 탐지합니다.
Red Hat은 USB-ID가 추가된 스마트 카드 리더를 테스트하지 않았습니다. (BZ#1558258)

gRPC_pkcs11 모듈에서 인증서 체인을 지원

이번 업데이트에서는 PKI(Public Key Infrastructure for X.509) 인증서 체인을 지원하도록 CloudEvent _pkcs11 모듈이 향상되었습니다. 이렇게 하면 리프 인증서에 대한 여러 경로를 포함하여 더 복잡한 체인 처리를 활성화합니다. 결과적으로 CloudEvent _pkcs11 은 이제 PKIX 인증서 체인의 유효성을 검사합니다. (BZ#1578029)

DNSSEC-keymgr 은 DNSSEC 키 롤오버 자동화

이번 업데이트에서는 DNS Security Extensions (DNSSEC) 키 롤오버를 자동화하는 유틸리티인 dnssec-keymgr 이 도입되었습니다. DNSSEC-keymgr 을 사용하면 간단한 구성 가능한 정책으로 인해 보안 영역을 위해 DNS 키의 장기적인 관리를 자동으로 수행할 수 있습니다. 이렇게 하면 DNS 서비스를 중단하지 않고 키를 원활하게 롤아웃할 수 있습니다. (BZ#1510008)

선택한 도메인에 대해 DNSSEC 검증을 비활성화할 수 있습니다.

이전 버전에서는 DNSSEC 검증을 활성화하고 특정 도메인에 실패한 경우 해당 도메인의 호스트에 연결할 수 없었습니다. 이번 릴리스에서는 잘못된 구성이 아닌 잘못된 구성으로 인해 검증이 실패하는 경우 선택한 영역에 대해 DNS 보안 확장(DNS Security Extensions) 검증에서 제외를 구성할 수 있습니다. 실패한 도메인에 있는 호스트의 주소는 서명되지 않은 것으로 확인되며, 다른 모든 이름은 보안 위험에서 검증됩니다. (BZ#1452091)

IdM 클라이언트의 SSSD 가 특정 AD 사이트 또는 AD DC에 대해 인증 가능

이제 AD(Active Directory)와의 신뢰 관계가 있는 도메인의 IdM(Identity Management) 클라이언트에서 실행 중인 SSSD( System Security Services Daemon )를 고정하여 구성된 AD 사이트 또는 구성된 AD 도메인 컨트롤러(DC) 세트에 대해 인증할 수 있습니다.
이전에는 SSSD 가 libkrb5에서 수행한 DNS SRV 검색에 완전히 의존했습니다. 그러나 libkrb5에는 AD 사이트의 개념이 없기 때문에 AD 사이트를 고려하지 않았습니다. 관리자가 SSSD 를 일련의 AD DC에 대해 인증하도록 고정하려는 경우 문제 없이 /etc/krb5.conf 파일에 올바른 KDC(Key Distribution center)를 설정해야 했습니다.
개선 사항은 대규모 환경에 편리합니다. 각 클라이언트에서 /etc/krb5.conf 파일을 개별적으로 수정하는 것이 이전에는 사용 가능한 유일한 솔루션이었습니다. (BZ#1416528)
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동