9.11. IdM (Identity Management)
OpenSSH-ldap
이 더 이상 사용되지 않음
openssh-ldap
하위 패키지는 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다. openssh-ldap
하위 패키지가 업스트림에서 유지 관리되지 않으므로 Red Hat은 SSSD 및 sss_ssh_authorizedkeys
도우미를 사용할 것을 권장합니다. 이 도우미는 다른 IdM 솔루션과 더 잘 통합되고 더 안전합니다.
기본적으로 SSSD ldap
및 ipa
공급자는 사용 가능한 경우 사용자 오브젝트의 sshPublicKey
LDAP 속성을 읽습니다. AD에는 공개 키를 저장할 기본 LDAP 특성이 없으므로 ad
provider 또는 IdM 신뢰할 수 있는 도메인에 기본 SSSD 구성을 사용하여 AD(Active Directory)에서 SSH 공개 키를 검색할 수 없습니다.
sss_ssh_authorizedkeys
도우미가 SSSD에서 키를 가져올 수 있도록 하려면 sssd.conf
파일의 services
옵션에 ssh를 추가하여 ssh
응답자
를 활성화합니다. 자세한 내용은 sssd.conf(5)
도움말 페이지를 참조하십시오.
sshd
가 sss_ssh_authorizedkeys
를 사용할 수 있도록 하려면 AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
및 AuthorizedKeysCommandUser nobody
옵션에 sss_ ssh/sshd_config
파일에 설명된 대로 sss_ssh_authorizedkeys(1)
도움말 페이지를 추가합니다.
DES 및 3DES 암호화 유형이 제거되었습니다.
보안상의 이유로 RHEL 7 이후 기본적으로DES(데이터 암호화 표준) 알고리즘이 더 이상 사용되지 않고 비활성화되어 있습니다. 최근 Kerberos 패키지 리베이스를 변경하면서 단일DES(DES) 및 Triple-DES(3DES) 암호화 유형이 RHEL 8에서 제거되었습니다.
DES 또는 3DES 암호화만 사용하도록 서비스 또는 사용자를 구성한 경우 다음과 같은 서비스 중단이 발생할 수 있습니다.
- Kerberos 인증 오류
-
알 수 없는 enctype
암호화 오류 -
K/M
(DESed-encrypted Database Master Keys)이 포함된 KDC(Kerberos Distribution Centers)가 시작되지 않습니다.
업그레이드를 준비하려면 다음 작업을 수행합니다.
-
KDC가
krb5check
오픈소스 Python 스크립트와 함께 DES 또는 3DES 암호화를 사용하는지 확인하십시오. GitHub의 krb5check 를 참조하십시오. - Kerberos 주체와 함께 DES 또는 3DES 암호화를 사용하는 경우 AES(Advanced Encryption Standard)와 같은 지원되는 암호화 유형으로 키를 다시 입력합니다. 재키징에 대한 지침은 MIT Kerberos 문서에서 DES를 폐기 하는 것을 참조하십시오.
업그레이드하기 전에 다음 Kerberos 옵션을 일시적으로 설정하여 DES 및 3DES에서 독립성을 테스트합니다.
-
KDC의
/var/kerberos/krb5kdc/kdc.conf
에서supported_enctypes
를 설정하고des 또는 des
3
를 포함하지 마십시오. -
모든 호스트에 대해
/etc/krb5.conf
및/etc/krb5.conf.d
의 모든 파일에 대해allow_weak_crypto
를false로 설정합니다
. 기본적으로 false입니다. -
모든 호스트에 대해
/etc/krb5.conf
및/etc/krb5.conf.d
에 있는 모든 파일에 대해 allowed_enctypes
,default_tgs_enctypes
및default_tkt_enctypes
를 설정하고des 또는 des
3
을 포함하지 마십시오.
-
KDC의
- 이전 단계에서 테스트 Kerberos 설정으로 서비스가 중단되지 않으면 해당 서비스를 제거하고 업그레이드합니다. 최신 Kerberos 패키지로 업그레이드한 후에는 이러한 설정이 필요하지 않습니다.
ctdb
서비스의 독립 실행형 사용이 더 이상 사용되지 않음
RHEL 8.4부터 고객은 다음 두 조건이 모두 적용되는 경우에만 ctdb
클러스터형 Samba 서비스를 사용하는 것이 좋습니다.
-
ctdb
서비스는 resource-agentctdb
를 사용하여pacemaker
리소스로 관리됩니다. -
ctdb
서비스는 Red Hat Gluster Storage 제품 또는 GFS2 파일 시스템에서 제공하는 GlusterFS 파일 시스템을 포함하는 스토리지 볼륨을 사용합니다.
ctdb
서비스의 독립형 사용 사례는 더 이상 사용되지 않으며 차후 Red Hat Enterprise Linux 주요 릴리스에는 포함되지 않습니다. Samba 지원 정책에 대한 자세한 내용은 기술 자료 문서 RHEL 복구 스토리지 지원 정책 - ctdb 일반 정책을 참조하십시오.
(BZ#1916296)
PDC 또는 BDC로 Samba 실행이 더 이상 사용되지 않음
관리자가 Samba를 PDC(기본 도메인 컨트롤러)로 실행하고 백업 도메인 컨트롤러(BDC)로 Samba를 실행할 수 있도록 하는 전통적인 도메인 컨트롤러 모드는 더 이상 사용되지 않습니다. 이러한 모드를 구성하는 코드 및 설정은 향후 Samba 릴리스에서 제거됩니다.
RHEL 8의 Samba 버전이 PDC 및 BDC 모드를 제공하는 한, Red Hat은 NT4 도메인을 지원하는 Windows 버전을 사용하는 기존 설치에서만 이러한 모드를 지원합니다. Red Hat은 새로운 Samba NT4 도메인을 설정하지 않는 것이 좋습니다. Microsoft 운영 체제는 Windows 7 및 Windows Server 2008 R2 이후의 경우 NT4 도메인을 지원하지 않기 때문입니다.
PDC를 사용하여 Linux 사용자만 인증하는 경우 RHEL 서브스크립션에 포함된 Red Hat IdM(Identity Management) 으로 마이그레이션하는 것이 좋습니다. 그러나 Windows 시스템을 IdM 도메인에 연결할 수는 없습니다. Red Hat은 백그라운드에서 사용하는 PDC 기능인 IdM을 계속 지원합니다.
Red Hat은 DB(AD 도메인 컨트롤러)로 Samba 실행을 지원하지 않습니다.
libwbclient의 SSSD 버전이 더 이상 사용되지 않음
libwbclient
패키지의 SSSD 구현이 추가되어 Samba smbd
서비스가 winbind
서비스를 실행할 필요 없이 AD에서 사용자 및 그룹 정보를 검색할 수 있습니다. 이제 Samba에서 winbind
서비스가 실행 중이고 AD와의 통신을 처리해야 하므로 보안상의 이유로 관련 코드가 smdb
에서 제거되었습니다. 이러한 추가 필수 기능은 SSSD에 속하지 않고 libwbclient
의 SSSD 구현은 최신 버전의 Samba에서 사용할 수 없으므로 libwbclient
의 SSSD 구현은 더 이상 사용되지 않습니다.
SMB1 프로토콜은 Samba에서 더 이상 사용되지 않음
Samba 4.11부터 비보안 SMB1(Server Message Block 버전 1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
보안을 개선하기 위해 기본적으로 SMB1은 Samba 서버 및 클라이언트 유틸리티에서 비활성화되어 있습니다.
Jira:RHELDOCS-16612