지원콘솔개발자평가판 시작연락처

4.11. IdM (Identity Management)

이제 ID 관리 사용자가 외부 ID 공급자를 사용하여 IdM에 인증할 수 있습니다.

이번 개선된 기능을 통해 OAuth 2 장치 권한 부여 흐름을 지원하는 외부 ID 공급자(IdP)와 IdM(Identity Management) 사용자를 연결할 수 있습니다. 이러한 IdP의 예로는 Red Hat build of Keycloak, Microsoft Entra ID (이전 Azure Active Directory), GitHub 및 Google이 있습니다.

IdP 참조 및 IdM에 연결된 IdP 사용자 ID가 있는 경우 IdM 사용자가 외부 IdP에서 인증할 수 있도록 해당 ID를 사용할 수 있습니다. 외부 IdP에서 인증 및 승인을 수행한 후 IdM 사용자는 Single Sign-On 기능이 있는 Kerberos 티켓을 받습니다. 사용자는 RHEL 8.7 이상에서 사용할 수 있는 SSSD 버전으로 인증해야 합니다.

Jira:RHELPLAN-123140[1]

IPA 버전 4.9.13으로 업데이트

ipa 패키지가 버전 4.9.12에서 4.9.13으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • IdM 복제본은 이제 Kerberos 인증뿐만 아니라 모든 IPA API 및 CA 요청에 대해서도 선택한 서버에 대해 설치됩니다.
  • 인증서가 많은 경우 cert-find 명령의 성능이 크게 향상되었습니다.
  • ansible-freeipa 패키지는 버전 1.11에서 1.12.1로 변경되었습니다.

자세한 내용은 업스트림 릴리스 노트 를 참조하십시오.

Jira:RHEL-16936

만료된 KCM Kerberos 티켓 삭제

이전에는 Kerberos Credential Manager(KCM)에 새 인증 정보를 추가하려고 시도했지만 이미 스토리지 공간 제한에 도달한 경우 새 인증 정보가 거부되었습니다. 사용자 스토리지 공간은 기본값이 64인 max_uid_ccaches 구성 옵션에 의해 제한됩니다. 이번 업데이트를 통해 스토리지 공간 제한에 도달한 경우 가장 오래된 만료된 인증 정보가 제거되고 새 인증 정보가 KCM에 추가됩니다. 만료된 인증 정보가 없으면 작업이 실패하고 오류가 반환됩니다. 이 문제를 방지하려면 kdestroy 명령을 사용하여 인증 정보를 제거하여 일부 공간을 확보할 수 있습니다.

Jira:SSSD-6216

로컬 사용자를 위한 bcrypt 암호 해시 알고리즘 지원

이번 업데이트를 통해 로컬 사용자에 대해 bcrypt 암호 해시 알고리즘을 활성화할 수 있습니다. bcrypt 해시 알고리즘으로 전환하려면 다음을 수행합니다.

  1. pam_unix.so sha512 설정을 pam_unix.so fish 로 변경하여 /etc/authselect/system-auth/etc/authselect/password-auth 파일을 편집합니다.

  2. 변경 사항을 적용합니다. 

    # authselect apply-changes
  3. passwd 명령을 사용하여 사용자의 암호를 변경합니다.
  4. /etc/shadow 파일에서 해시 알고리즘이 이제 bcrypt 암호 해시 알고리즘이 사용됨을 나타내는 $ 2 b$로 설정되어 있는지 확인합니다.

Jira:SSSD-6790

idp Ansible 모듈을 사용하면 IdM 사용자를 외부 IdP와 연결할 수 있습니다.

이번 업데이트를 통해 idp ansible-freeipa 모듈을 사용하여 OAuth 2 장치 권한 부여 흐름을 지원하는 IdM(Identity Management) 사용자를 외부 ID 공급자(IdP)와 연결할 수 있습니다. IdM에 IdP 참조 및 관련 IdP 사용자 ID가 있는 경우 이를 사용하여 IdM 사용자에 대한 IdP 인증을 활성화할 수 있습니다. 

외부 IdP에서 인증 및 승인을 수행한 후 IdM 사용자는 Single Sign-On 기능이 있는 Kerberos 티켓을 받습니다. 사용자는 RHEL 8.7 이상에서 사용할 수 있는 SSSD 버전으로 인증해야 합니다.

Jira:RHEL-16938

IdM에서 idoverrideuser,idoverridegroupidview Ansible 모듈 지원

이번 업데이트를 통해 ansible-freeipa 패키지에 다음 모듈이 포함됩니다.

idoverrideuser
IdM(Identity Management) LDAP 서버에 저장된 사용자의 사용자 속성을 재정의할 수 있습니다(예: 사용자 로그인 이름, 홈 디렉터리, 인증서 또는 SSH 키).
idoverridegroup
IdM LDAP 서버에 저장된 그룹의 특성(예: 그룹 이름, GID 또는 설명)을 재정의할 수 있습니다.
idview
사용자 및 그룹 ID 덮어쓰기를 구성하고 특정 IdM 호스트에 적용할 수 있습니다.

나중에 이러한 모듈을 사용하여 AD 사용자가 스마트 카드를 사용하여 IdM에 로그인할 수 있습니다.

Jira:RHEL-16933

ansible-freeipa에서 활성화된 DNS 영역 관리 위임

이제 dnszone ansible-freeipa 모듈을 사용하여 DNS 영역 관리를 위임할 수 있습니다. dnszone 모듈의 permission 또는 managedby 변수를 사용하여 영역별 액세스 위임 권한을 설정합니다.

Jira:RHEL-19133

ansible-freeipa ipauseripagroup 모듈에서 새로운 이름이 변경된 상태를 지원

이번 업데이트를 통해 ansible-freeipa ipauser 모듈에서 이름 변경 상태를 사용하여 기존 IdM 사용자의 사용자 이름을 변경할 수 있습니다. ansible-freeipa ipagroup 모듈에서 이 상태를 사용하여 기존 IdM 그룹의 그룹 이름을 변경할 수도 있습니다.

Jira:RHEL-4963

runasuser_group 매개변수를 ansible-freeipa ipasudorule에서 사용할 수 있습니다.

이번 업데이트를 통해 ansible-freeipa ipa sudo rule 모듈을 사용하여 sudo 규칙에 대해 RunAs Users 그룹을 설정할 수 있습니다. 옵션은 이미 IdM(Identity Management) 명령줄 인터페이스 및 IdM 웹 UI에서 사용할 수 있습니다.

Jira:RHEL-19129

389-DS-base 버전 1.4.3.39로 업데이트

389-ds-base 패키지가 버전 1.4.3.39로 업데이트되었습니다.

Jira:RHEL-19028

389-ds-base 패키지에서 HAProxy 프로토콜 지원

이전에는 Directory Server에서 프록시와 비 프록시 클라이언트 간의 들어오는 연결을 구분하지 않았습니다. 이번 업데이트를 통해 새로운 nsslapd-haproxy-trusted-ip 다중 값 구성 속성을 사용하여 신뢰할 수 있는 프록시 서버 목록을 구성할 수 있습니다. nsslapd-haproxy-trusted-ipcn=config 항목에서 구성되면 Directory Server는 HAProxy 프로토콜을 사용하여 추가 TCP 헤더를 통해 클라이언트 IP 주소를 수신하여ACI(액세스 제어 지침)를 올바르게 평가하고 클라이언트 트래픽을 로깅할 수 있습니다.

신뢰할 수 없는 프록시 서버가 bind 요청을 시작하면 Directory Server는 요청을 거부하고 오류 로그 파일에 다음 메시지를 기록합니다. 

[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4

Jira:RHEL-19240

Samba 버전 4.19.4로 업데이트

samba 패키지가 업스트림 버전 4.19.4로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

  • smbget 유틸리티의 명령줄 옵션은 일관된 사용자 환경을 위해 이름이 변경 및 제거되었습니다. 그러나 유틸리티를 사용하는 기존 스크립트 또는 작업이 손상될 수 있습니다. 새 옵션에 대한 자세한 내용은 smbget --help 명령 및 smbget(1) 도움말 페이지를 참조하십시오.

  • winbind debug traceid 옵션이 활성화된 경우 winbind 서비스는 이제 다음 필드를 추가로 기록합니다.

    • traceid: 동일한 요청에 속하는 레코드를 추적합니다.
    • 깊이: 요청 중첩 수준을 추적합니다.
  • Samba는 더 이상 자체 암호화 구현을 사용하지 않으며 대신 GnuTLS 라이브러리에서 제공하는 암호화 기능을 완전히 사용합니다.
  • 디렉터리 이름 캐시 크기 옵션이 제거되었습니다.

Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.

Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.

Jira:RHEL-16483[1]

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.