8장. 확인된 문제
이 장에서는 Red Hat Enterprise Linux 7.7의 알려진 문제에 대해 설명합니다.
8.1. 인증 및 상호 운용성
ID 범위 변경 사항을 적용할 때 일관성 없는 경고 메시지
RHEL IdM(Identity Management)에서는 로컬 IdM 도메인 또는 신뢰할 수 있는 Active Directory 도메인과 연관된 여러 ID 범위(ID 범위)를 정의할 수 있습니다. ID 범위에 대한 정보는 등록된 모든 시스템의 SSSD 데몬에서 검색합니다.
ID 범위 속성을 변경하려면 SSSD를 다시 시작해야 합니다. 이전에는 SSSD를 다시 시작해야 한다는 경고 메시지가 없었습니다. RHEL 7.7에서는 ID 범위 속성이 SSSD를 다시 시작해야 하는 방식으로 수정될 때 표시되는 경고를 추가합니다.
현재 경고 메시지는 일관되지 않은 문구를 사용합니다. 경고 메시지의 목적은 ID 범위를 사용하는 IdM 시스템에서 SSSD를 다시 시작하는 것입니다. ID 범위에 대한 자세한 내용은 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/managing-unique_uid_and_gid_attributes을 참조하십시오.
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험
TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.
(JIRA:RHELPLAN-155168)
