Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

10.4. 역할 기반 액세스 제어 정의

역할 기반 액세스 제어는 셀프 서비스 및 위임 액세스 제어에 비해 사용자에게 매우 다른 종류의 권한을 부여합니다. 역할 기반 액세스 제어는 기본적으로 관리되므로 항목을 수정할 수 있습니다.
역할 기반 액세스 제어에는 권한, 권한 , 역할 의 세 가지 부분이 있습니다. 권한은 하나 이상의 권한으로 구성되며 역할은 하나 이상의 권한으로 구성됩니다.
  • 권한은 특정 작업 또는 작업 세트(예: 읽기, 쓰기, 추가 또는 삭제)와 해당 작업이 적용되는 IdM LDAP 디렉터리 내의 대상 항목을 정의합니다. 권한은 블록을 구성합니다. 필요에 따라 여러 권한에 할당할 수 있습니다.
    IdM 권한을 사용하면 어떤 사용자가 어떤 오브젝트에 어떤 오브젝트에 액세스할 수 있는지와 해당 오브젝트의 속성을 제어할 수 있습니다. IdM을 사용하면 개별 속성을 허용 목록화하거나 블랙리스트로 지정하거나 사용자, 그룹 또는 sudo와 같은 특정 IdM 기능의 전체 가시성을 모든 익명 사용자, 인증된 사용자 또는 특정 권한 있는 사용자에게 변경할 수 있습니다. 권한에 대한 이 유연한 접근 방식은 예를 들어 관리자가 특정 섹션으로만 사용자 또는 그룹 액세스를 제한하려는 경우, 이러한 사용자나 그룹에만 액세스하고 다른 섹션을 완전히 숨기도록 하려는 시나리오에서 유용합니다.
  • 권한 은 역할에 적용할 수 있는 권한 그룹입니다. 예를 들어 자동 마운트 위치를 추가, 편집, 삭제할 수 있는 권한을 생성할 수 있습니다. 그런 다음 해당 권한을 FTP 서비스 관리와 관련된 다른 권한과 결합할 수 있으며, 파일 시스템 관리와 관련된 단일 권한을 만드는 데 사용할 수 있습니다.
    참고
    Red Hat Identity Management의 컨텍스트에서 권한이 있으면 어떤 권한과 역할이 생성되는지에 대한 원자적 액세스 제어 단위가 매우 특수한 의미를 갖습니다. Red Hat Identity Management에는 일시적으로 추가 권한을 얻는 일반 사용자의 개념으로 권한 에스컬레이션 이 존재하지 않습니다. RBAC(역할 기반 액세스 제어)를 사용하여 사용자에게 권한이 할당됩니다. 사용자는 액세스 권한을 부여하는 역할을 갖고 있거나 그렇지 않습니다.
    사용자 이외에 권한은 사용자 그룹, 호스트, 호스트 그룹 및 네트워크 서비스에도 할당됩니다. 이 방법을 사용하면 특정 네트워크 서비스를 통해 호스트 집합에서 일련의 사용자에 의한 작업을 세부적으로 제어할 수 있습니다.
  • 역할은 역할에 지정된 사용자가 소유한 권한 목록입니다.
    중요
    역할은 허용된 작업을 분류하는 데 사용됩니다. 권한 분리를 구현하거나 권한 에스컬레이션으로부터 보호하는 도구로 사용되지 않습니다.
완전히 새로운 권한을 생성하고 기존 권한 또는 새 권한을 기반으로 새 권한을 만들 수 있습니다. Red Hat Identity Management는 다음과 같은 다양한 사전 정의 역할을 제공합니다.
Expand
표 10.1. Red Hat Identity Management에서 사전 정의된 역할
Role 권한 Description
헬프데스크
사용자 수정 및 암호 재설정, 그룹 구성원 수정 간단한 사용자 관리 작업 수행을 담당합니다.
IT 보안 전문가
Netgroups 관리자, HBAC 관리자, Sudo 관리자 호스트 기반 액세스 제어, sudo 규칙 등의 보안 정책을 관리합니다.
IT 전문가
호스트 관리자, 호스트 그룹 관리자, 서비스 관리자, 자동 마운트 관리자 호스트 관리 담당
보안 설계자
위임 관리자, 복제 관리자, IPA 작성 구성, 암호 정책 관리자 ID 관리 환경 관리, 신뢰 생성, 복제 계약 생성 담당
사용자 관리자
사용자 관리자, 그룹 관리자, 사용자 관리자 단계 사용자 및 그룹 생성 담당

10.4.1. 역할
링크 복사

10.4.1.1. 웹 UI에서 역할 생성
링크 복사

  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. 역할 기반 액세스 제어 지침 목록의 맨 위에 있는 Add 링크를 클릭합니다.

    그림 10.6. 새 역할 추가

    새 역할 추가
    View larger image
    새 역할 추가
  3. 역할 이름과 설명을 입력합니다.

    그림 10.7. 역할 추가 양식

    역할 추가 양식
    View larger image
    역할 추가 양식
  4. 추가 및 편집 버튼을 클릭하여 새 역할을 저장하고 구성 페이지로 이동합니다.
  5. Users 탭 상단에서 또는 그룹을 추가할 때 사용자 그룹 탭에서 추가를 클릭합니다.

    그림 10.8. 사용자 추가

    사용자 추가
    View larger image
    사용자 추가
  6. 왼쪽에서 사용자를 선택하고 > 버튼 을 사용하여 Prospective 열로 이동합니다.

    그림 10.9. 사용자 선택

    사용자 선택
    View larger image
    사용자 선택
  7. Privileges (권한) 탭 상단에서 Add 를 클릭합니다.

    그림 10.10. 권한 추가

    권한 추가
    View larger image
    권한 추가
  8. 왼쪽에서 권한을 선택하고 &gt ; 버튼을 사용하여 Prospective 열로 이동합니다.

    그림 10.11. 권한 선택

    권한 선택
    View larger image
    권한 선택
  9. Add 버튼을 클릭하여 저장합니다.

10.4.1.2. 명령줄에서 역할 생성
링크 복사

  1. 새 역할을 추가합니다. 
    [root@server ~]# kinit admin
[root@server ~]# ipa role-add --desc="User Administrator" useradmin
  ------------------------
  Added role "useradmin"
  ------------------------
  Role name: useradmin
  Description: User Administrator
    Copy to Clipboard Toggle word wrap
  2. 필요한 권한을 역할에 추가합니다. 
    [root@server ~]# ipa role-add-privilege --privileges="User Administrators" useradmin
  Role name: useradmin
  Description: User Administrator
  Privileges: user administrators
  ----------------------------
  Number of privileges added 1
----------------------------
    Copy to Clipboard Toggle word wrap
  3. 필요한 그룹을 역할에 추가합니다. 이 경우 이미 존재하는 단일 그룹 useradmins 만 추가하고 있습니다. 
    [root@server ~]# ipa role-add-member --groups=useradmins useradmin
  Role name: useradmin
  Description: User Administrator
  Member groups: useradmins
  Privileges: user administrators
  -------------------------
  Number of members added 1
-------------------------
    Copy to Clipboard Toggle word wrap

10.4.2. 권한
링크 복사

10.4.2.1. 웹 UI에서 새 권한 생성
링크 복사

  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. Permissions 작업 링크를 선택합니다.

    그림 10.12. 권한 작업

    권한 작업
    View larger image
    권한 작업
  3. 권한 목록 상단에 있는 Add (추가) 버튼을 클릭합니다.

    그림 10.13. 새 권한 추가

    새 권한 추가
    View larger image
    새 권한 추가
  4. 표시되는 양식에 새 권한의 속성을 정의합니다.

    그림 10.14. 권한 추가 양식

    권한 추가 양식
    View larger image
    권한 추가 양식
  5. 양식 아래의 추가 버튼을 클릭하여 권한을 저장합니다.
다음 권한 속성을 지정할 수 있습니다.
  1. 새 권한의 이름을 입력합니다.
  2. 적절한 바인딩 규칙 유형을 선택합니다.
    • 권한은 기본 권한 유형이며 권한 및 역할을 통해 액세스 권한을 부여합니다.
    • 모두 인증된 모든 사용자에게 권한이 적용되도록 지정합니다.
    • 익명 은 인증되지 않은 사용자를 포함하여 모든 사용자에게 권한이 적용되도록 지정합니다.
    참고
    기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한에 이미 있는 권한이 기본이 아닌 바인딩 규칙 유형으로 설정할 수 없습니다.
  3. 권한 부여 권한에 부여된 권한을 선택합니다.
  4. 권한의 대상 항목을 식별하는 방법을 정의합니다.
    • type은 사용자, 호스트 또는 서비스와 같은 항목 유형을 지정합니다. Type 설정 값을 선택하는 경우 해당 항목 유형에 대해 이 ACI를 통해 액세스할 수 있는 모든 가능한 속성 목록이 효과 속성 아래에 표시됩니다.
      Type 정의에서는 SubtreeTarget DN 을 사전 정의된 값 중 하나로 설정합니다.
    • sub tree 는 하위 트리를 지정합니다. 이 하위 트리 항목 아래의 모든 항목이 대상입니다. Subtree 에서 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않으므로 기존 하위 트리 항목을 제공합니다. 예를 들어 다음과 같습니다. 
      cn=automount,dc=example,dc=com
      Copy to Clipboard Toggle word wrap
    • 추가 대상 필터는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다. 
      (!(objectclass=posixgroup))
      Copy to Clipboard Toggle word wrap
      IdM은 지정된 필터의 유효성을 자동으로 검사합니다. 잘못된 필터를 입력하면 IdM에서 권한을 저장하려고 시도한 후 이에 대해 경고합니다.
    • 대상 DN 은 도메인 이름(DN)을 지정하고 와일드카드를 수락합니다. 예를 들어 다음과 같습니다. 
      uid=*,cn=users,cn=accounts,dc=com
      Copy to Clipboard Toggle word wrap
    • 그룹 멤버 는 대상 필터를 지정된 그룹의 구성원으로 설정합니다.
    필터 설정을 작성하고 추가 를 클릭하면 IdM에서 필터를 검증합니다. 모든 권한 설정이 올바르면 IdM에서 검색을 수행합니다. 일부 권한 설정이 올바르지 않으면 IdM에서 잘못 설정된 설정을 알려주는 메시지를 표시합니다.
  5. Type 을 설정하는 경우 사용 가능한 ACI 특성 목록에서 효과 특성을 선택합니다. Type 을 사용하지 않은 경우 Effective attributes 필드에 작성하여 속성을 수동으로 추가합니다. 한 번에 단일 속성을 추가합니다. 속성을 여러 개 추가하려면 추가를 클릭하여 다른 입력 필드를 추가합니다.
    중요
    권한의 속성을 설정하지 않으면 기본적으로 모든 속성이 포함됩니다.

10.4.2.2. 명령줄에서 새 권한 생성
링크 복사

새 권한을 추가하려면 ipa permission-add 명령을 실행합니다. 해당 옵션을 제공하여 권한의 속성을 지정합니다.
  • 권한의 이름을 제공합니다. 예를 들어 다음과 같습니다. 
    [root@server ~]# ipa permission-add "dns admin permission"
    Copy to Clipboard Toggle word wrap
  • --bindtype 은 바인딩 규칙 유형을 지정합니다. 이 옵션은 모든,익명, 권한 인수를 허용합니다. 예를 들어 다음과 같습니다. 
    --bindtype=all
    Copy to Clipboard Toggle word wrap
    --bindtype 을 사용하지 않으면 유형이 자동으로 기본 권한 값으로 설정됩니다.
    참고
    기본이 아닌 바인딩 규칙 유형의 권한을 권한에 추가할 수 없습니다. 또한 권한에 이미 있는 권한이 기본이 아닌 바인딩 규칙 유형으로 설정할 수 없습니다.
  • --permissions 는 권한에서 부여한 권한을 나열합니다. 여러 --permissions 옵션을 사용하거나 중괄호 내부의 쉼표로 구분된 목록에 옵션을 나열하여 여러 속성을 설정할 수 있습니다. 예를 들어 다음과 같습니다. 
    --permissions=read --permissions=write
--permissions={read,write}
    Copy to Clipboard Toggle word wrap
  • --attrs 는 권한이 부여된 속성 목록을 제공합니다. 여러 --attrs 옵션을 사용하거나 중괄호의 쉼표로 구분된 목록에 옵션을 나열하여 여러 속성을 설정할 수 있습니다. 예를 들어 다음과 같습니다. 
    --attrs=description --attrs=automountKey
--attrs={description,automountKey}
    Copy to Clipboard Toggle word wrap
    --attrs 와 함께 제공되는 속성은 존재해야 하며 지정된 오브젝트 유형에 대해 속성이 허용되어야 합니다. 그렇지 않으면 명령이 스키마 구문 오류로 인해 실패합니다.
  • --type 은 사용자, 호스트 또는 서비스와 같은 항목 오브젝트 유형을 정의합니다. 각 유형에는 허용된 속성 세트가 있습니다. 예를 들어 다음과 같습니다. 
    [root@server ~]# ipa permission-add "manage service" --permissions=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby
    Copy to Clipboard Toggle word wrap
  • --subtree 는 하위 트리 항목을 제공합니다. 그러면 filter는 이 하위 트리 항목 아래의 모든 항목을 대상으로 합니다. 기존 하위 트리 항목을 제공합니다. --subtree 는 와일드카드 또는 존재하지 않는 도메인 이름(DN)을 허용하지 않습니다. 디렉터리에 DN을 포함합니다.
    IdM은 단순화된 플랫 디렉터리 트리 구조를 사용하므로 --subtree 를 사용하여 다른 구성의 컨테이너 또는 상위 항목인 autoscale location과 같은 일부 유형의 항목을 대상으로 할 수 있습니다. 예를 들어 다음과 같습니다. 
    [root@server ~]# ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com" --permissions=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation
    Copy to Clipboard Toggle word wrap
    --type--subtree 옵션은 함께 사용할 수 없습니다.
  • --filter 는 LDAP 필터를 사용하여 권한이 적용되는 항목을 식별합니다. IdM은 지정된 필터의 유효성을 자동으로 검사합니다. 필터는 유효한 LDAP 필터일 수 있습니다. 예를 들면 다음과 같습니다. 
    [root@server ~]# ipa permission-add "manage Windows groups" --filter="(!(objectclass=posixgroup))" --permissions=write --attrs=description
    Copy to Clipboard Toggle word wrap
  • --memberOf 는 그룹이 존재하는지 확인한 후 대상 필터를 지정된 그룹의 멤버로 설정합니다. 예를 들어 다음과 같습니다. 
    [root@server ~]# ipa permission-add ManageHost --permissions="write" --subtree=cn=computers,cn=accounts,dc=testrelm,dc=com --attr=nshostlocation --memberof=admins
    Copy to Clipboard Toggle word wrap
  • --TargetGroup은 그룹이 존재하는지 확인한 후 target을 지정된 사용자 그룹으로 설정합니다.
웹 UI에서 사용할 수 있는 대상 DN 설정은 명령줄에서 사용할 수 없습니다.
참고
권한 수정 및 삭제에 대한 자세한 내용은 ipa permission-mod --helpipa permission-del --help 명령을 실행합니다.

10.4.2.3. 기본 관리 권한
링크 복사

관리 권한은 ID 관리와 함께 사전 설치되어 있는 권한입니다. 사용자가 생성한 다른 권한처럼 동작하며 다음과 같은 차이점이 있습니다.
  • 이름, 위치 및 대상 속성을 수정할 수 없습니다.
  • 이를 삭제할 수 없습니다.
  • 다음과 같은 세 가지 특성 집합이 있습니다.
    • IdM에서 관리하며 사용자가 수정할 수 없는 기본 속성
    • 사용자가 추가한 추가 속성입니다. 관리 권한에 포함된 속성을 추가하려면 ipa permission-mod 명령으로 -- included attrs 옵션을 제공하여 속성을 지정합니다.
    • 사용자가 삭제한 속성 제외. 관리 권한에 제외된 속성을 추가하려면 ipa permission-mod 명령으로 --excludedattrs 옵션을 제공하여 속성을 지정합니다.
관리 권한은 기본 및 포함된 속성 세트에 표시되지만 제외된 세트에는 표시되지 않는 모든 속성에 적용됩니다.
관리 권한을 수정할 때 --attrs 옵션을 사용하면 포함된 속성 및 제외된 속성이 --attrs 와 함께 제공된 속성만 활성화되도록 자동으로 조정됩니다.
참고
관리 권한을 삭제할 수는 없지만 바인딩 유형을 권한으로 설정하고 모든 권한 에서 관리 권한을 제거하면 효과적으로 비활성화됩니다.
모든 관리 권한의 이름은 시스템(예 : System )으로 시작합니다. Sudo 규칙 또는 System을 추가합니다: 서비스 수정.
이전 버전의 IdM에서는 기본 권한에 대해 다른 스키마를 사용했습니다. 예를 들어 사용자가 기본 권한을 수정하지 못하고 사용자는 권한에만 할당할 수 있습니다. 이러한 기본 권한 대부분은 관리 권한으로 변경되었지만 다음 권한은 여전히 이전 체계를 사용합니다.
  • Automember Rebuild Membership 작업 추가
  • 복제 계약 추가
  • 인증서 제거 저장
  • CA에서 인증서 상태 가져오기
  • DNA 범위 수정
  • 복제 계약 수정
  • 복제 계약 제거
  • 인증서 요청
  • 다른 호스트에서 인증서 요청
  • CA에서 인증서 검색
  • 인증서 취소
  • IPA 설정 쓰기
웹 UI에서 관리 권한을 수정하려고 하면 수정할 수 없는 속성이 비활성화됩니다.

그림 10.15. 비활성화된 속성

비활성화된 속성
View larger image
비활성화된 속성
명령줄에서 관리 권한을 수정하려고 하면 시스템에서 수정할 수 없는 속성을 변경할 수 없습니다. 예를 들어 기본 시스템을 변경하려고 합니다. Users 권한을 수정하는데 실패합니다. 
$ ipa permission-mod 'System: Modify Users' --type=group
ipa: ERROR: invalid 'ipapermlocation': not modifiable on managed permissions
Copy to Clipboard Toggle word wrap
그러나 시스템을 수행할 수 있습니다. GECOS 속성에 적용되지 않도록 사용자 권한을 수정합니다. 
$ ipa permission-mod 'System: Modify Users' --excludedattrs=gecos
------------------------------------------
Modified permission "System: Modify Users"
Copy to Clipboard Toggle word wrap

10.4.2.4. 이전 버전의 ID 관리 권한
링크 복사

이전 버전의 Identity Management에서는 사용 권한이 다르게 처리되었습니다. 예를 들면 다음과 같습니다.
  • 글로벌 IdM ACI는 서버의 모든 사용자에게 읽기 액세스 권한을 부여했습니다. 이 경우에도 익명의 사용자도 인증되지 않았습니다 - 사용자가 인증되지 않았습니다.
  • 쓰기, 추가 및 삭제 권한 유형만 사용할 수 있습니다. 읽기 권한도 사용할 수 있었지만 인증되지 않은 사용자를 포함한 모든 사용자가 기본적으로 읽기 액세스 권한을 가지기 때문에 실질적인 가치가 없었습니다.
현재 버전의 Identity Management에는 훨씬 더 세분화된 권한 설정 옵션이 포함되어 있습니다.
  • 글로벌 IdM ACI는 인증되지 않은 사용자에 대한 읽기 액세스 권한을 부여하지 않습니다.
  • 예를 들어 동일한 권한에 필터와 하위 트리를 모두 추가할 수 있습니다.
  • 검색 및 비교 권한을 추가할 수 있습니다.
새로운 사용 권한 처리 방식은 이전 버전과의 호환성을 유지하면서 사용자 또는 그룹 액세스를 제어하기 위한 IdM 기능을 대폭 개선했습니다. 이전 버전의 IdM에서 업그레이드하면 모든 서버에서 글로벌 IdM ACI가 삭제되고 관리 권한으로 대체됩니다.
이전 방식으로 만든 권한은 수정할 때마다 자동으로 현재 스타일로 변환됩니다. 이러한 항목을 변경하지 않으면 이전 유형의 사용 권한은 의도치 않은 상태로 유지됩니다. 권한이 현재 스타일을 사용하는 경우 이전 스타일로 다운그레이드할 수 없습니다.
참고
이전 버전의 IdM을 실행하는 서버에서 권한을 부여할 수 있습니다.
ipa 권한 표시ipa permission-find 명령은 현재 권한과 이전 스타일의 권한을 모두 인식합니다. 이러한 명령의 출력에는 현재 스타일의 권한이 표시되지만 권한 자체는 변경되지 않습니다. 명령은 LDAP에 대한 변경 사항을 커밋하지 않고 메모리에만 데이터를 출력하기 전에 권한 항목을 업그레이드합니다.
이전 버전과 현재 특성이 모두 포함된 권한은 이전 버전의 IdM을 실행하는 모든 서버와 현재 IdM 버전을 실행하는 모든 서버에 영향을 미칩니다. 그러나 이전 버전의 IdM을 실행하는 서버에서 현재 권한을 사용하여 권한을 생성하거나 수정할 수 없습니다.

10.4.3. 권한
링크 복사

10.4.3.1. 웹 UI에서 새 권한 생성
링크 복사

  1. 상단 메뉴에서 IPA Server 탭을 열고 역할 기반 액세스 제어를 선택합니다.
  2. Privileges (권한) 작업 링크를 선택합니다.
  3. 권한 목록 상단에 있는 Add 링크를 클릭합니다.

    그림 10.17. 새 권한 추가

    새 권한 추가
    View larger image
    새 권한 추가
  4. 권한의 이름 및 설명을 입력합니다.

    그림 10.18. 권한 추가 양식

    권한 추가 양식
    View larger image
    권한 추가 양식
  5. 추가 및 편집 버튼을 클릭하여 권한 구성 페이지로 이동하여 권한을 추가합니다.
  6. 권한 탭을 선택합니다.
  7. 권한 목록 맨 위에 있는 추가를 클릭하여 권한을 추가합니다.

    그림 10.19. 권한 추가

    권한 추가
    View larger image
    권한 추가
  8. 추가할 권한의 이름으로 확인란을 클릭하고 > 버튼 사용하여 권한을 Prospective 열로 이동합니다.

    그림 10.20. 권한 선택

    권한 선택
    View larger image
    권한 선택
  9. Add 버튼을 클릭하여 저장합니다.

10.4.3.2. 명령줄에서 새 권한 생성
링크 복사

권한 항목은 privilege-add 명령을 사용하여 생성된 다음, privilege-add-permission 명령을 사용하여 권한 그룹에 권한이 추가됩니다.
  1. 권한 항목을 생성합니다. 
    [jsmith@server ~]$ ipa privilege-add "managing filesystems" --desc="for filesystems"
    Copy to Clipboard Toggle word wrap
  2. 필요한 권한을 할당합니다. 예를 들어 다음과 같습니다. 
    [jsmith@server ~]$ ipa privilege-add-permission "managing filesystems" --permissions="managing automount" --permissions="managing ftp services"
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat