8장. 알려진 문제
이 장에서는 Red Hat Enterprise Linux 7.9의 알려진 문제를 설명합니다.
8.1. 인증 및 상호 운용성
최신 컨테이너 이미지를 사용하여 ipa-server 를 업그레이드한 후 Active Directory를 사용하는 신뢰가 제대로 작동하지 않습니다.
최신 버전의 컨테이너 이미지로 IdM 서버를 업그레이드한 후 Active Directory 도메인의 기존 신뢰가 더 이상 작동하지 않습니다. 이 문제를 해결하려면 기존 신뢰성을 삭제하고 업그레이드 후 다시 설정합니다.
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험
TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.
(JIRA:RHELPLAN-155168)
