9.12. IdM (Identity Management)
인쇄 서버로 Samba를 실행하고 RHEL 8.4 및 이전 버전에서 업데이트할 때 필요한 작업
이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/samba/ 디렉터리를 생성하지 않습니다. Samba를 출력 서버로 사용하고 [ shares] 공유에서 /var/spool/samba/ 를 spool 출력 작업에 사용하는 경우 SELinux는 Samba 사용자가 이 디렉터리에 파일을 생성하지 못하도록 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스가 /var/log/audit/audit.log 에 거부 된 메시지를 기록합니다. 8.4 및 이전 버전에서 시스템을 업데이트한 후 이 문제를 방지하려면 다음을 수행합니다.
-
/etc/samba/smb.conf파일에서[ Cryostats]공유를 검색합니다. -
공유 정의에
path = /var/spool/samba/가 포함된 경우 설정을 업데이트하고path매개변수를/var/tmp/로 설정합니다. smbd서비스를 다시 시작합니다.# systemctl restart smbd
RHEL 8.5 이상에 Samba를 새로 설치한 경우 작업이 필요하지 않습니다. 이 경우 samba-common 패키지에서 제공하는 기본 /etc/samba/smb.conf 파일은 이미 /var/tmp/ 디렉터리를 사용하여 출력 작업을 spool로 사용합니다.
Bugzilla:2009213[1]
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상되었습니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.
FIPS 모드는 공유 보안을 사용하여 교차 포리스트 신뢰 설정을 지원하지 않습니다.
NTLMSSP 인증이 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 교차 포리스트 신뢰 설정은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드가 활성화된 IdM 도메인과 AD 도메인 간의 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.
버전 1.2.2로 리베이스 후 authselect 다운그레이드
authselect 패키지는 최신 업스트림 버전 1.2.2 로 변경되었습니다. 다운그레이드 authselect 는 지원되지 않으며 root 를 포함하여 모든 사용자에 대한 시스템 인증을 중단합니다.
authselect 패키지를 1.2.1 이하로 다운그레이드한 경우 다음 단계를 수행하여 이 문제를 해결합니다.
-
GRUB 부팅 화면에서 부팅하려는 커널 버전이 있는
Red Hat Enterprise Linux를 선택하고e를 눌러 항목을 편집합니다. -
linux로 시작하는 행 끝에single을 별도의 단어로 입력하고Ctrl+X를 눌러 부팅 프로세스를 시작합니다. - 단일 사용자 모드에서 부팅할 때 root 암호를 입력합니다.
다음 명령을 사용하여 authselect 구성을 복원합니다.
# authselect select sssd --force
IdM to AD cross-realm TGS 요청 실패
IdM Kerberos 티켓의 권한 속성 인증서(PAC) 정보는 이제 AD(Active Directory)에서 지원하지 않는 AES SHA-2 HMAC 암호화로 서명됩니다.
결과적으로 IdM에서 AD 간 TGS 요청(즉, 양방향 신뢰 설정)이 실패하고 다음 오류가 발생합니다.
Generic error (see e-text) while getting credentials for <service principal>
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 위험이 있습니다.
ID 조회에 TLS 없이 ldap:// 를 사용하는 경우 공격 벡터가 발생할 수 있습니다. 특히 MITTM(man-in-the-middle) 공격으로 공격자가 LDAP 검색에서 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS, ldap_id_use_start_tls 를 적용하는 SSSD 구성 옵션은 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 용으로 암호화되지 않은 통신을 사용하는 것이 안전한지 확인합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하지 않는 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 향후 RHEL 릴리스에서 변경될 예정입니다.
Jira:RHELPLAN-155168[1]
RHEL 8.6에서 RHEL 8.7 이상으로의 PKI -core-debuginfo 업데이트가 실패했습니다.
RHEL 8.6에서 RHEL 8.7 이상으로 pki-core-debuginfo 패키지를 업데이트할 수 없습니다. 이 문제를 해결하려면 다음 명령을 실행합니다.
-
yum remove pki-core-debuginfo -
yum update -y -
yum install pki-core-debuginfo -
yum install idm-pki-symkey-debuginfo idm-pki-tools-debuginfo
Jira:RHEL-13125[1]
마이그레이션된 IdM 사용자는 일치하지 않는 도메인 SID로 인해 로그인할 수 없을 수 있습니다.
ipa migrate-ds 스크립트를 사용하여 IdM 배포에서 사용자를 다른 IdM 배포로 마이그레이션한 경우 이전 SID(보안 식별자)에 현재 IdM 환경의 도메인 SID가 없기 때문에 IdM 서비스를 사용하는 데 문제가 있을 수 있습니다. 예를 들어 해당 사용자는 kinit 유틸리티를 사용하여 Kerberos 티켓을 검색할 수 있지만 로그인할 수 없습니다. 이 문제를 해결하려면 다음 지식 베이스 문서를 참조하십시오. 마이그레이션된 IdM 사용자는 일치하지 않는 도메인 SID로 인해 로그인할 수 없습니다.
Jira:RHELPLAN-109613[1]
FIPS 모드에서 IdM은 NTLMSSP 프로토콜 사용을 지원하지 않습니다.
NTLMSSP(New Technology LAN Manager Security Support Provider) 인증이 FIPS와 호환되지 않기 때문에 FIPS(Active Directory)와 FIPS 모드가 활성화된 IdM(Identity Management) 간 양방향 교차 포리스트 트러스트를 설정할 수 없습니다. FIPS 모드의 IdM은 AD 도메인 컨트롤러에서 인증을 시도할 때 사용하는 RC4 NTLM 해시를 허용하지 않습니다.
Kerberos 주체의 만료 날짜를 설정할 때 잘못된 경고
Kerberos 주체에 대한 암호 만료 날짜를 설정하면 현재 타임스탬프가 32비트 부호 있는 정수 변수를 사용하여 만료 타임스탬프와 비교됩니다. 만료 날짜가 향후 68년 이상이면 정수 변수 오버플로로 다음과 같은 경고 메시지가 표시됩니다.
Warning: Your password will expire in less than one hour on [expiration date]
이 메시지를 무시하면 구성된 날짜와 시간에 암호가 올바르게 만료됩니다.
RHEL 8의 NIS 맵에서 많은 수의 항목 열거 속도 저하
RHEL 8에 nis_nss 패키지를 설치할 때 glibc-common 패키지에서 더 이상 파일이 제공되지 않기 때문에 /etc/default/NSS 구성 파일이 누락됩니다. 결과적으로 RHEL 8의 NIS 맵에서 많은 수의 항목을 나열하면 기본적으로 모든 요청이 일괄 처리되지 않고 개별적으로 처리되므로 RHEL 7보다 훨씬 오래 걸립니다.
이 문제를 해결하려면 다음 콘텐츠를 사용하여 /etc/default/nss 파일을 생성하고 SETENT_BATCH_READ 변수를 TRUE 로 설정해야 합니다.
# /etc/default/nss
# This file can theoretically contain a bunch of customization variables
# for Name Service Switch in the GNU C library. For now there are only
# four variables:
#
# NETID_AUTHORITATIVE
# If set to TRUE, the initgroups() function will accept the information
# from the netid.byname NIS map as authoritative. This can speed up the
# function significantly if the group.byname map is large. The content
# of the netid.byname map is used AS IS. The system administrator has
# to make sure it is correctly generated.
#NETID_AUTHORITATIVE=TRUE
#
# SERVICES_AUTHORITATIVE
# If set to TRUE, the getservbyname{,_r}() function will assume
# services.byservicename NIS map exists and is authoritative, particularly
# that it contains both keys with /proto and without /proto for both
# primary service names and service aliases. The system administrator
# has to make sure it is correctly generated.
#SERVICES_AUTHORITATIVE=TRUE
#
# SETENT_BATCH_READ
# If set to TRUE, various setXXent() functions will read the entire
# database at once and then hand out the requests one by one from
# memory with every getXXent() call. Otherwise each getXXent() call
# might result into a network communication with the server to get
# the next entry.
SETENT_BATCH_READ=TRUE
#
# ADJUNCT_AS_SHADOW
# If set to TRUE, the passwd routines in the NIS NSS module will not
# use the passwd.adjunct.byname tables to fill in the password data
# in the passwd structure. This is a security problem if the NIS
# server cannot be trusted to send the passwd.adjuct table only to
# privileged clients. Instead the passwd.adjunct.byname table is
# used to synthesize the shadow.byname table if it does not exist.
#ADJUNCT_AS_SHADOW=TRUEJira:RHEL-34075[1]
스마트 카드 인증에 새 옵션 local_auth_policy를 도입한 후 구성 업데이트가 필요할 수 있습니다.
RHEL 8.10으로 업데이트한 후 local_auth_policy 옵션에 도입된 변경으로 인해 스마트 카드 인증이 실패할 수 있습니다. local_auth_policy 가 기본값으로 설정된 경우와일치하면 SSSD는 오프라인 인증 방법을 온라인에서 사용할 수 있는 인증 방법으로 제한합니다. 결과적으로 구성된 백엔드에서 스마트 카드 인증을 제공하지 않는 경우(예: auth_provider = ldap )를 사용할 때 사용자가 사용할 수 없습니다. 이 문제를 해결하려면 sssd.conf 파일의 domain 섹션에 local_auth_policy = enable:smartcard 를 추가하여 스마트 카드 인증 방법을 명시적으로 활성화한 다음 SSSD를 다시 시작합니다.
