4.13. IdM (Identity Management)
Identity Management를 더 포함하기
Red Hat은 중요한 언어를 사용하기 위해 최선을 다하고 있습니다.
Identity Management에서 계획된 용어 교체는 다음과 같습니다.
- 차단 목록 대체 블랙리스트
- 목록 교체 허용 화이트리스트
- 2차 대체 슬레이브
master 라는 단어는 컨텍스트에 따라 더 정확한 언어로 바뀝니다.
- IdM 서버가 IdM 마스터교체
- CA 갱신 서버가 CA 갱신 마스터교체
- CRL 게시자 서버가 CRL 마스터교체
- 멀티 공급자 대체 멀티 마스터
(JIRA:RHELPLAN-73418)
dsidm
유틸리티는 이름 변경 및 항목 이동 지원
이 향상된 기능을 통해 dsidm
유틸리티를 사용하여 Directory Server의 사용자, 그룹, POSIX 그룹, 역할 및 조직 단위(OU)의 이름을 변경하고 이동할 수 있습니다. 자세한 내용은 Directory Server Administration Guide의 사용자, 그룹, POSIX 그룹 및 OUs 수정 섹션을 참조하십시오.
IdM에서 하위 CA 삭제
이 향상된 기능을 통해 ipa ca-del
명령을 실행하고 Sub-CA를 비활성화하지 않은 경우 Sub-CA를 삭제할 수 없으며 비활성화해야 합니다. 먼저 ipa ca-disable
명령을 실행하여 Sub-CA를 비활성화한 다음 ipa ca-del
명령을 사용하여 삭제합니다.
IdM CA는 비활성화하거나 삭제할 수 없습니다.
(JIRA:RHELPLAN-63081)
IdM에서 새로운 Ansible 관리 역할 및 모듈 지원
RHEL 8.4에서는 IdM(Identity Management)의 역할 기반 액세스 제어(RBAC) 자동화 관리를 위한 Ansible 모듈, IdM 서버를 백업하고 복원하는 Ansible 역할 및 위치 관리를 위한 Ansible 모듈을 제공합니다.
-
ipapermission
모듈을 사용하여 IdM RBAC에서 권한 및 권한 구성원을 생성, 수정, 삭제할 수 있습니다. -
ipaprivilege
모듈을 사용하여 IdM RBAC에서 권한 및 권한 구성원을 생성, 수정, 삭제할 수 있습니다. -
iparole
모듈을 사용하여 IdM RBAC에서 역할 및 역할 구성원을 생성, 수정 및 삭제할 수 있습니다. -
ipadelegation
모듈을 사용하여 IdM RBAC의 사용자에게 권한을 위임할 수 있습니다. -
ipaselfservice
모듈을 사용하여 IdM에서 셀프 서비스 액세스 규칙을 생성, 수정 및 삭제할 수 있습니다. -
ipabackup
역할을 사용하여 IdM 서버 백업을 생성, 복사 및 제거하고 제어 노드에서 IdM 서버를 로컬로 복원할 수 있습니다. -
ipalocation
모듈을 사용하여 데이터 센터 랙과 같은 호스트의 실제 위치가 있는지 확인할 수 있습니다.
(JIRA:RHELPLAN-72660)
FIPS 모드의 IdM이 AD로 교차 포리스트 신뢰 지원
이번 개선된 기능을 통해 관리자는 FIPS 모드와 AD(Active Directory) 도메인이 활성화된 IdM 도메인 간에 교차 포리스트 신뢰성을 설정할 수 있습니다. IdM에서 FIPS 모드가 활성화되어 있는 동안 공유 시크릿을 사용하여 신뢰를 설정할 수 없습니다. FIPS 준수를 참조하십시오.
(JIRA:RHELPLAN-58629)
AD 사용자는 알려진 UPN 접미사에 하위로 UPN 접미사로 IdM에 로그인할 수 있습니다.
이전에는 AD(Active Directory) 사용자가 알려진 UPN 접미사(예: TLN)의 하위 도메인인 UN(Universal Principal Name)
을 사용하여 IdM(Identity Management)에 로그인할 수 없었습니다 . 내부 Samba 프로세스가 하위 도메인을 TLN(상위 수준 이름)
의 중복으로 필터링했기 때문입니다. 이번 업데이트에서는 알려진 UPN 접미사에 종속되어 있는지 테스트하여 UPN의 유효성을 검사합니다. 결과적으로 사용자는 설명된 시나리오에서 하위 UPN 접미사를 사용하여 로그인할 수 있습니다.
IdM에서 새 암호 정책 옵션 지원
이번 업데이트를 통해 IdM(Identity Management)은 추가 libpwquality
라이브러리 옵션을 지원합니다.
--maxrepeat
- 동일한 문자의 최대 개수를 순서대로 지정합니다.
--maxsequence
- 단일 문자 시퀀스(abcd)의 최대 길이를 지정합니다.
--dictcheck
- 암호가 사전 단어인지 확인합니다.
--usercheck
- 암호에 사용자 이름이 포함되어 있는지 확인합니다.
새 암호 정책 옵션이 설정된 경우 --minlength
옵션 값과 관계없이 최소 암호 길이는 6자입니다. 새 암호 정책 설정은 새 암호에만 적용됩니다.
RHEL 7 및 RHEL 8 서버와 혼합된 환경에서는 새 암호 정책 설정이 RHEL 8.4 이상에서 실행되는 서버에만 적용됩니다. 사용자가 IdM 클라이언트에 로그인하고 IdM 클라이언트가 RHEL 8.3 이하에서 실행되는 IdM 서버와 통신하는 경우 시스템 관리자가 설정한 새 암호 정책 요구 사항이 적용되지 않습니다. 일관된 동작을 보장하려면 모든 서버를 RHEL 8.4 이상으로 업그레이드하거나 업데이트합니다.
Active Directory 사이트 검색 프로세스 개선
이제 SSSD 서비스에서 여러 도메인 컨트롤러에 대한 연결 없는 LDAP(CLDAP)를 통해 Active Directory 사이트를 병렬로 검색하여 일부 도메인 컨트롤러에 연결할 수 없는 상황에서 사이트 검색 속도를 높일 수 있습니다. 이전에는 사이트 검색이 순차적으로 수행되었으며 도메인 컨트롤러에 연결할 수 없는 상황에서 시간 초과가 발생하고 SSSD가 오프라인 상태가 되었습니다.
처리량을 높이기 위해 nsslapd-nagle
의 기본값이 꺼져 있습니다.
이전에는 cn=config
항목의 nsslapd-nagle
매개변수가 기본적으로 활성화되어 있었습니다. 그 결과 Directory Server는 서버 속도를 늦추는 일련의 setsocketopt
시스템 호출을 수행했습니다. 이번 업데이트에서는 기본값 nsslapd-nagle
을 off
로 변경합니다. 결과적으로 Directory Server는 더 적은 수의 setsocketopt
시스템 호출을 수행하고 초당 더 많은 수의 작업을 처리할 수 있습니다.
(BZ#1996076)
sssd.conf 파일의 [domain] 섹션에서 SSSD 도메인 활성화 또는 비활성화
이번 업데이트를 통해 sssd.conf
파일에서 각각의 [domain]
섹션을 수정하여 SSSD 도메인을 활성화하거나 비활성화할 수 있습니다.
이전에는 SSSD 구성에 독립 실행형 도메인이 포함되어도
옵션을 수정해야 했습니다. 이번 업데이트를 통해 도메인 구성에서 sssd.conf
파일의 [sssd]
섹션에서 도메인enabled=
옵션을 true 또는 false로 설정할 수 있습니다.
-
활성화된
옵션을 true로 설정하면sssd.conf
파일의[sssd]
섹션에 있는 domain 옵션 아래에 나열되지 않아도도메인이
활성화됩니다. -
활성화된
옵션을 false로 설정하면sssd.conf
파일의[sssd]
섹션에 있는 domain 옵션 아래에 나열되어 있더라도도메인을
false로 설정합니다. -
활성화된
옵션을 설정하지 않으면sssd.conf
의
[sssd]
섹션에 있는 domain 옵션의 구성이 사용됩니다.
최대 오프라인 시간 초과를 수동으로 제어하는 옵션이 추가되었습니다.
offline_timeout
기간은 SSSD가 다시 온라인 상태가 되는 시도 사이의 시간 증가를 결정합니다. 이전에는 이 간격에 가능한 최대 값이 3600초로 하드 코딩되어 일반적인 사용량에 적합하지만 변경 속도가 빠르고 느려진 문제가 발생했습니다.
이번 업데이트에서는 각 간격의 최대 길이를 수동으로 제어하기 위해 offline_timeout_max
옵션을 추가하여 SSSD에서 서버 동작을 추적할 수 있는 유연성이 향상되었습니다.
offline_timeout
매개변수 값과 상관 관계에서 이 값을 설정해야 합니다. 값이 0이면 증가 동작을 비활성화합니다.
SSSD 세션 기록 구성에서 scope=all
을 사용하여
지원exclude_users
및 exclude_groups
Red Hat Enterprise 8.4에서는 대규모 그룹 또는 사용자에 대한 세션 기록을 정의할 수 있는 새로운 SSSD 옵션을 제공합니다.
exclude_users
기록에서 제외할 사용자의 쉼표로 구분된 목록은
scope=all
구성 옵션에만 적용됩니다.exclude_groups
쉼표로 구분된 그룹 목록으로, 의 멤버는 기록에서 제외해야 합니다.
scope=all
구성 옵션에만 적용할 수 있습니다.
자세한 내용은 sssd-session-recording
도움말 페이지를 참조하십시오.
Samba 가 버전 4.13.2로 업데이트
samba 패키지가 업스트림 버전 4.13.2로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
-
인증되지 않은 사용자가
netlogon
프로토콜을 사용하여 도메인을 인수할 수 있는 보안 문제를 방지하려면 Samba 서버가서버 schannel
매개 변수의 기본값(yes
)을 사용하는지 확인합니다. 확인하려면testparm -v | grep 'server schannel'
명령을 사용합니다. 자세한 내용은 CVE-2020-1472 에서 참조하십시오. - Samba "전체 링크" 기능이 VFS 모듈로 변환되었습니다.
- PDC 또는 BDC로 Samba를 실행하는 것은 더 이상 사용되지 않습니다.
이제 FIPS 모드가 활성화된 RHEL에서 Samba를 사용할 수 있습니다. FIPS 모드의 제한으로 인해:
- RC4 암호가 차단되었으므로 NT LAN Manager(NTLM) 인증을 사용할 수 없습니다.
- 기본적으로 FIPS 모드에서 Samba 클라이언트 유틸리티는 AES 암호로 Kerberos 인증을 사용합니다.
- AES 암호화를 사용하는 Kerberos 인증이 포함된 AD(Active Directory) 또는 Red Hat IdM(Identity Management) 환경에서만 Samba를 도메인 구성원으로 사용할 수 있습니다. Red Hat은 백그라운드에서 사용하는 기본 도메인 컨트롤러(PDC) 기능을 계속 지원합니다.
이제 서버 메시지 블록 버전 1(SMB1) 프로토콜에서만 사용할 수 있는 안전하지 않은 인증 방법에 대해 다음 매개 변수가 더 이상 사용되지 않습니다.
-
클라이언트 일반 텍스트 인증
-
클라이언트 NTLMv2 인증
-
클라이언트 lanman 인증
-
클라이언트 사용 spnego
-
- Samba와 함께 사용할 때 GlusterFS write-behind 성능 변환기에 문제가 해결되어 데이터 손상을 방지합니다.
- 최소 런타임 지원은 이제 Python 3.6입니다.
-
더 이상 사용되지 않는
ldap ssl
ad 매개변수가 제거되었습니다.
smbd
,nmbd
또는 winbind
서비스가 시작될 때 Samba는 tdb
데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. Red Hat은 tdb
데이터베이스 파일 다운그레이드를 지원하지 않습니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트 를 참조하십시오.
SSSD를 사용한 암호 없는 sudo
인증을 위한 새로운 GSSAPI PAM 모듈
새로운 pam_ss_gss.so
PAM(Pluggable Authentication Module)을 사용하여 SSSD(System Security Services Daemon)를 구성하여 사용자를 GSSAPI(Generic Security Service Application Programming Interface)를 사용하여 PAM 서비스에 인증할 수 있습니다.
예를 들어 이 모듈을 사용하여 Kerberos 티켓과 암호 없는 sudo
인증을 사용할 수 있습니다. IdM 환경의 추가 보안을 위해 스마트 카드 또는 일회성 암호로 인증된 사용자와 같이 티켓의 특정 인증 표시기가 있는 사용자에게만 액세스 권한을 부여하도록 SSSD를 구성할 수 있습니다.
자세한 내용은 IdM 클라이언트에서 IdM 사용자에게 sudo 액세스 부여를 참조하십시오.
Directory Server 기반 버전 1.4.3.16
389-ds-base
패키지가 업스트림 버전 1.4.3.16으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항의 전체 목록은 업데이트하기 전에 업스트림 릴리스 노트를 읽어보십시오.
- https://www.port389.org/docs/389ds/releases/release-1-4-3-16.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-15.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-14.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-13.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-12.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-11.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-10.html
- https://www.port389.org/docs/389ds/releases/release-1-4-3-9.html
Directory Server는 이제 RESULT
항목에 작업 및 작업 시간을 기록합니다.
이번 업데이트를 통해 Directory Server는 /var/log/dirsrv/slapd-<instance_name>/access
파일의 RESULT
항목에 두 개의 추가 시간 값을 기록합니다.
-
wtime
값은 작업 큐에서 작업자 스레드로 작업을 이동하는 데 걸리는 시간을 나타냅니다. -
optime
값은 작업자 스레드가 작업을 시작한 후 실제 작업을 완료하는 데 걸리는 시간을 표시합니다.
새 값은 Directory Server에서 부하 및 프로세스 작업을 처리하는 방법에 대한 추가 정보를 제공합니다.
자세한 내용은 Red Hat Directory Server Configuration, Command 및 File Reference의 액세스 로그 참조 섹션을 참조하십시오.
Directory Server는 인덱싱되지 않은 내부 검색을 거부할 수 있음
이번 개선된 기능에서는 nsslapd-require-internalop-index
매개변수를 cn=<database_name>,cn=ldbm 데이터베이스,cn=plugins,cn=config
항목에 추가하여 내부 unindexed 검색을 거부합니다. 플러그인은 데이터를 수정하면 데이터베이스에 쓰기 잠금이 있습니다. 대규모 데이터베이스에서 플러그인이 인덱싱되지 않은 검색을 실행하는 경우 플러그인은 모든 데이터베이스 잠금을 사용하여 데이터베이스가 손상되거나 서버가 응답하지 않게 되는 경우가 있습니다. 이 문제를 방지하려면 nsslapd-require-internalop-index
매개변수를 활성화하여 내부 인덱싱되지 않은 검색을 거부할 수 있습니다.