10.12. IdM (Identity Management)
모든 KRA 멤버가 숨겨진 복제본인 경우 KRA 설치에 실패합니다.
첫 번째 KRA 인스턴스가 숨겨진 복제본에 설치된 경우 ipa-kra-install 유틸리티는 KRA(키 복구 기관)가 이미 있는 클러스터에서 실패합니다. 결과적으로 클러스터에 KRA 인스턴스를 추가할 수 없습니다.
이 문제를 해결하려면 새 KRA 인스턴스를 추가하기 전에 KRA 역할이 있는 숨겨진 복제본을 숨기지 않습니다. ipa-kra-install 이 성공적으로 완료되면 다시 숨길 수 있습니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.
IdM 호스트의 /var/log/lastlog 스파스 파일에서 성능 문제가 발생할 수 있습니다.
IdM 설치 중에 총 10,000개의 가능한 범위의 UID 범위가 임의로 선택되어 할당됩니다. 이와 같이 임의의 범위를 선택하면 향후 두 개의 별도의 IdM 도메인을 병합하기로 결정한 경우 ID 충돌 가능성이 크게 줄어듭니다.
그러나 UID가 높으면 /var/log/lastlog 파일에 문제가 발생할 수 있습니다. 예를 들어 UID가 1280000008인 사용자가 IdM 클라이언트에 로그인하면 로컬 /var/log/lastlog 파일 크기가 거의 400GB로 증가합니다. 실제 파일은 스파스이고 모든 공간을 사용하지 않지만, 특정 애플리케이션은 기본적으로 스파스 파일을 식별하도록 설계되지 않으며 이를 처리하기 위해 특정 옵션이 필요할 수 있습니다. 예를 들어 설정이 복잡하고 백업이 있고 copy 애플리케이션이 스파스 파일을 올바르게 처리하지 않으면 파일이 크기가 400GB인 것처럼 복사됩니다. 이 동작으로 인해 성능 문제가 발생할 수 있습니다.
이 문제를 해결하려면 다음을 수행합니다.
- 표준 패키지의 경우 해당 문서를 참조하여 스파스 파일을 처리하는 옵션을 식별합니다.
-
사용자 지정 애플리케이션의 경우
/var/log/lastlog와 같은 스파스 파일을 올바르게 관리할 수 있는지 확인합니다.
(JIRA:RHELPLAN-59111)
freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.
터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.
문제를 해결하려면 249자 이하의 암호를 선택하십시오.
FIPS 모드는 공유 시크릿을 사용하여 Pod 간 신뢰성을 설정하는 것을 지원하지 않습니다.
NTLMSSP 인증은 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 포드 간 트러스트를 설정하는 것은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드와 AD 도메인이 활성화된 IdM 도메인 간에 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.
버전 1.2.2로 업데이트한 후 authselect 를 다운그레이드하면 시스템 인증이 중단됩니다.
authselect 패키지가 최신 업스트림 버전 1.2.2 로 다시 기반되었습니다. authselect 를 다운그레이드하는 것은 지원되지 않으며 root 를 포함한 모든 사용자의 시스템 인증이 중단됩니다.
authselect 패키지를 1.2.1 이하로 다운 그레이드한 경우 다음 단계를 수행하여 이 문제를 해결하십시오.
-
GRUB 부팅 화면에서 부팅하려는 커널 버전이 있는
Red Hat Enterprise Linux를 선택하고e키를 눌러 항목을 편집합니다. -
linux로시작하는 행의 끝에 single을 별도의 단어로 입력하고Ctrl+x를 눌러 부팅 프로세스를 시작합니다. - 단일 사용자 모드에서 부팅할 때 루트 암호를 입력합니다.
다음 명령을 사용하여 authselect 구성을 복원합니다.
# authselect select sssd --force
pki-ca 패키지 버전이 10.10.5 이전인 경우 RHEL 8.3에서 RHEL 8.4로 IdM 서버를 업그레이드할 수 없습니다.
pki 가 실패합니다. 필수 파일이 이러한 버전에 존재하지 않기 때문에 패키지 설치 시 및 -ca 패키지 버전이 10.10.5 이전인 경우 IdM 서버 업그레이드 프로그램인 ipa- server-upgradeipa-server-upgrade 또는 ipa ctl 이 실행될 때 IdM 서버 업그레이드가 성공적으로 완료되지 않습니다.
이 문제를 해결하려면 pki-* 패키지를 버전 10.10.5 이상으로 업그레이드하고 ipa-server-upgrade 명령을 다시 실행합니다.
(BZ#1957768)
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험
TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.
(JIRA:RHELPLAN-155168)
