4장. 새로운 기능

SSSD에서 AD에 저장된 sudo 규칙 지원

SSSD(System Security Services Daemon)는 이제 AD(Active Directory)에 저장된 sudo 규칙을 완벽하게 지원합니다. 이 기능은 Red Hat Enterprise Linux 7.0에서 기술 프리뷰로 처음 소개되었습니다. 관리자는 sudo 규칙을 지원하도록 AD 스키마를 업데이트해야 합니다.

SSSD는 더 이상 [nss] 섹션의 fallback_homedir 값을 AD 도메인의 폴백으로 사용하지 않습니다.

RHEL 7.7 이전에는 AD(Active Directory) 공급자의 SSSD fallback_homedir 매개변수에 기본값이 없었습니다. fallback_homedir 이 설정되지 않은 경우 SSSD는 /etc/sssd/sssd.conf 파일의 [nss] 섹션에서 동일한 매개변수의 값을 대신 사용했습니다. 보안을 강화하기 위해 RHEL 7.7의 SSSD에는 fallback_homedir 의 기본값이 도입되었습니다. 결과적으로 SSSD는 더 이상 [nss] 섹션에 설정된 값으로 대체하지 않습니다. AD 도메인의 fallback_homedir 매개변수에 대해 기본값과 다른 값을 사용하려면 도메인의 섹션에서 수동으로 설정해야 합니다.

Directory Server rebased to version 1.3.9.1

389-ds-base 패키지가 업스트림 버전 1.3.9.1로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

Directory Server Auto Membership 플러그인은 수정 작업을 통해 추가로 호출할 수 있습니다.

이번 업데이트에서는 변경 작업에 맞게 Directory Server의 Auto Membership 플러그인이 향상되었습니다. 이전에는 플러그인이 ADD 작업에서만 호출되었습니다. 관리자가 사용자 항목을 변경하고 해당 변경이 사용자가 속한 Auto Membership 그룹에 영향을 미치는 경우 사용자는 이전 그룹에서 제거되지 않고 새 그룹에만 추가되었습니다. 이 업데이트에서 제공하는 향상된 기능을 통해 사용자는 이제 Directory Server가 언급된 시나리오의 이전 그룹에서 사용자를 제거하도록 설정할 수 있습니다.

Directory Server의 복제 계약에 replicaLastUpdateStatusJSON 상태 속성이 추가되었습니다.

이번 업데이트에서는 replicaLastUpdateStatusJSON status 속성이 cn=<replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config 항목에 도입되었습니다. replicaLastUpdateStatus 속성에 표시된 상태는 모호하고 명확하지 않았습니다. new 속성은 명확한 상태 메시지와 결과 코드를 제공하며 JSON 형식을 지원하는 다른 애플리케이션에서 구문 분석할 수 있습니다.

IdM은 이제 CA를 CRL 생성 마스터로 승격하는 유틸리티 제공

이 향상된 기능을 통해 관리자는 기존 IdM(Identity Management) 인증 기관(CA)을 인증서 해지 목록(CRL) 생성 마스터로 승격하거나 CA에서 이 기능을 제거할 수 있습니다. 이전에는 IdM CA를 CRL 생성 마스터로 구성하려면 여러 수동 단계가 필요했습니다. 이 절차는 error-prone이었습니다. 결과적으로 관리자는 ipa-crlgen-manage enable 및 ipa-crlgen-manage disable 명령을 사용하여 IdM CA에서 CRL 생성을 활성화 및 비활성화할 수 있습니다.

고립된 automember 규칙을 탐지하고 제거하는 명령이 IdM에 추가되었습니다.

IdM(Identity Management)의 automember 규칙은 호스트 그룹 또는 삭제된 그룹을 참조할 수 있습니다. 이전에는 ipa automember-rebuild 명령이 예기치 않게 실패 원인을 진단하기 어려웠습니다. 이번 개선된 기능에는 IdM에 ipa automember-find-orphans 가 IdM에 추가되어 이러한 고립된 자동 멤버 규칙을 식별하고 제거합니다.

IdM에서 인증서의 SAN 확장에서 IP 주소 지원

관리자는 SAN(Subject Alternative Name) 확장에서 IP 주소가 있는 인증서를 발행해야 합니다. 이번 업데이트에서는 이 기능이 추가되었습니다. 결과적으로 주소가 IdM DNS 서비스에서 관리되고 주체 호스트 또는 서비스 주체와 연결된 경우 관리자는 SAN 확장에서 IP 주소를 설정할 수 있습니다.

IdM에서 서버가 오프라인인 경우 만료된 시스템 인증서 갱신 지원

이 향상된 기능을 통해 IdM(Identity Management)이 오프라인 상태가 되면 관리자는 만료된 시스템 인증서를 갱신할 수 있습니다. 시스템 인증서가 만료되면 IdM이 시작되지 않습니다. 새로운 ipa-cert-fix 명령은 해결 방법을 교체하여 갱신 프로세스를 진행할 날짜를 수동으로 설정합니다. 그 결과 언급된 시나리오에서 다운타임 및 지원 비용이 절감됩니다.

pki-core rebased to 버전 10.5.16

pki-core 패키지가 업스트림 버전 10.5.16으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

인증서 시스템에서 외부 CA 서명을 위해 SKI 확장을 사용하여 CSR을 생성 가능

이 향상된 기능을 통해 인증서 시스템에서는 외부 인증 기관(CA) 서명을 위해 SKI(Subject Key Identifier) 확장을 사용하여 인증서 서명 요청(CSR)을 생성하도록 지원합니다. 특정 CA에서는 이 확장이 특정 값을 사용하거나 CA 공용 키에서 파생되어야 합니다. 결과적으로 관리자는 이제 pkispawn 유틸리티에 전달된 설정 파일에서 pki_req_ski 매개 변수를 사용하여 SKI 확장자가 있는 CSR을 생성할 수 있습니다.

인증서 시스템 제거 제거해도 더 이상 모든 로그 파일이 제거되지 않음

이전에는 하위 시스템을 제거할 때 인증서 시스템에서 해당 로그를 모두 제거했습니다. 이번 업데이트를 통해 기본적으로 pkidestroy 유틸리티에서 더 이상 로그를 제거하지 않습니다. 하위 시스템을 제거할 때 로그를 제거하려면 새로운 --remove-logs 매개변수를 pkidestroy에 전달합니다. 또한 이번 업데이트에서는 pkidestroy에 --force 매개변수를 추가합니다. 이전에는 불완전한 설치에서 일부 파일과 디렉터리를 남겨 두어 Certificate System 인스턴스가 완전히 제거될 수 있었습니다. --force를 pkidestroy로 전달하여 하위 시스템과 인스턴스의 모든 해당 파일을 완전히 제거합니다.

pkispawn 유틸리티는 CA, KRA 및 OCSP 설치 중에 NSS 데이터베이스에 생성된 키의 사용을 지원합니다.

이전 버전에서는 인증서 시스템 설치 중에 pkispawn 유틸리티는 새 키 만들기 및 시스템 인증서에 대한 기존 키 가져오기만 지원했습니다. 이번 개선된 기능을 통해 이제 pkispawn은 CA(인증 기관), KRA(Key recovery authority) 및 OCSSP( online certificate status protocol) 설치 중에 NSS 데이터베이스에서 직접 생성하는 키를 사용할 수 있습니다.

인증서 시스템에서 서비스를 다시 설치할 때 이전 설치 로그를 유지합니다.

이전에는 기존 인증서 시스템 로그 디렉터리가 있는 서버에 인증서 시스템 하위 시스템을 설치할 때 pkispawn 유틸리티에서 이름 충돌 오류를 보고했습니다. 이번 개선된 기능을 통해 인증서 시스템은 기존 로그 디렉터리 구조를 재사용하여 이전 설치 로그를 유지합니다.

인증서 시스템에서 기본적으로 강력한 암호 지원

이번 업데이트를 통해 FIPS(Federal Information Processing Standard)를 준수하는 다음과 같은 추가 암호가 인증서 시스템에서 기본적으로 활성화됩니다.

samba 패키지 버전은 4.9.1입니다.

samba 패키지가 업스트림 버전 4.9.1로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.