4.13. IdM (Identity Management)
IdM에서 새 암호 정책 옵션 지원
이번 업데이트를 통해 IdM(Identity Management)은 추가 libpwquality
라이브러리 옵션을 지원합니다.
--maxrepeat
- 동일한 문자의 최대 개수를 순서대로 지정합니다.
--maxsequence
- 단일 문자 시퀀스(abcd)의 최대 길이를 지정합니다.
--dictcheck
- 암호가 사전 단어인지 확인합니다.
--usercheck
- 암호에 사용자 이름이 포함되어 있는지 확인합니다.
ipa pwpolicy-mod
명령을 사용하여 이러한 옵션을 적용합니다. 예를 들어 managers 그룹의 사용자가 제안한 모든 새 암호에 사용자 이름 검사를 적용하려면 다음을 수행합니다.
*$ ipa pwpolicy-mod --usercheck=True managers*
새 암호 정책 옵션이 설정된 경우 --minlength
옵션 값과 관계없이 최소 암호 길이는 6자입니다. 새 암호 정책 설정은 새 암호에만 적용됩니다.
RHEL 7 및 RHEL 8 서버와 혼합된 환경에서는 새 암호 정책 설정이 RHEL 8.4 이상에서 실행되는 서버에만 적용됩니다. 사용자가 IdM 클라이언트에 로그인하고 IdM 클라이언트가 RHEL 8.3 이하에서 실행되는 IdM 서버와 통신하는 경우 시스템 관리자가 설정한 새 암호 정책 요구 사항이 적용되지 않습니다. 일관된 동작을 보장하려면 모든 서버를 RHEL 8.4 이상으로 업그레이드하거나 업데이트합니다.
(JIRA:RHELPLAN-89566)
각 요청에 대한 고유 식별자 태그를 추가하여 SSSD 디버그 로깅 개선
SSSD 프로세스에서 요청을 비동기적으로 처리할 때 다양한 요청의 메시지가 동일한 로그 파일에 추가되므로 백엔드 로그의 개별 요청에 대한 로그 항목을 추적하는 것은 쉬운 일이 아닙니다. 디버그 로그의 가독성을 높이기 위해 이제 RID#<integer>
형식의 로그 메시지에 고유한 요청 식별자가 추가됩니다. 이를 통해 개별 요청과 관련된 로그를 격리할 수 있으며 여러 SSSD 구성 요소의 로그 파일에서 요청을 완료하지 못하도록 추적할 수 있습니다.
예를 들어 SSSD 로그 파일의 다음 샘플 출력은 두 개의 서로 다른 요청에 대한 고유 식별자 RID#3 및 RID#4를 보여줍니다.
(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_destructor] (0x0400): RID#3 Number of active DP request: 0 (2021-07-26 18:26:37): [be[testidm.com]] [dp_req_reply_std] (0x1000): RID#3 DP Request AccountDomain #3: Returning [Internal Error]: 3,1432158301,GetAccountDomain() not supported (2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 DP Request Account #4: REQ_TRACE: New request. sssd.nss CID #1 Flags [0x0001]. (2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 Number of active DP request: 1
(JIRA:RHELPLAN-92473)
IdM에서 automember
및 server
Ansible 모듈 지원
이번 업데이트를 통해 ansible-freeipa
패키지에는 ipaautomember 및 ipa
server
모듈이 포함되어 있습니다.
-
ipaautomember
모듈을 사용하여 automember 규칙 및 조건을 추가, 제거 및 수정할 수 있습니다. 결과적으로 조건을 충족하는 향후 IdM 사용자와 호스트가 IdM 그룹에 자동으로 할당됩니다. -
ipaserver
모듈을 사용하면 IdM 토폴로지에서 서버가 존재하거나 존재하지 않는 다양한 매개변수가 있는지 확인할 수 있습니다. 복제본이 숨겨져 있거나 표시되는지 확인할 수도 있습니다.
(JIRA:RHELPLAN-96640)
IdM 성능 기준
이번 업데이트를 통해 CPU 4개와 8GB의 RAM을 장착한 RHEL 8.5 IdM 서버가 130개의 IdM 클라이언트를 동시에 성공적으로 등록하도록 테스트되었습니다.
(JIRA:RHELPLAN-97145)
SSSD Kerberos 캐시 성능 개선
이제 SSSD(System Security Services Daemon) KCM(Kerberos Cache Manager) 서비스에 새로운 작업 KCM_GET_CRED_LIST
가 포함됩니다. 이번 개선된 기능을 통해 인증 정보 캐시를 반복하면서 입력 및 출력 작업의 수를 줄여 KCM 성능이 향상되었습니다.
SSSD에서 기본적으로 역추적 기록
이번 개선된 기능을 통해 SSSD는 이제 메모리 내 버퍼에 자세한 디버그 로그를 저장하고 오류가 발생할 때 로그 파일에 추가합니다. 기본적으로 다음 오류 수준은 역추적을 트리거합니다.
- 수준 0: 치명적인 오류
- 레벨 1: 중요한 오류
- 수준 2: 심각한 실패
sssd.conf 구성 파일의 해당 섹션에서
debug_level
옵션을 설정하여 각 SSSD 프로세스에 대해 이 동작을 수정할 수 있습니다.
- 디버깅 수준을 0으로 설정하면 수준 0 이벤트만 역추적을 트리거합니다.
- 디버깅 수준을 1로 설정하면 0 및 1 수준이 역추적을 트리거합니다.
- 디버깅 수준을 2개 이상 설정하면 수준 0~2의 이벤트가 백트레이스를 트리거합니다.
sssd.conf의 해당 섹션에서
debug_backtrace_enabled
옵션을 false로
설정하여 SSSD 프로세스별로 이 기능을 비활성화할 수 있습니다.
[sssd] debug_backtrace_enabled = true debug_level=0 ... [nss] debug_backtrace_enabled = false ... [domain/idm.example.com] debug_backtrace_enabled = true debug_level=2 ... ...
SSSD KCM에서 티켓 부여 티켓의 자동 갱신 지원
이 향상된 기능을 통해 이제 IdM(Identity Management) 서버의 KCM(System Security Services Daemon)에 저장된 티켓(TGT)을 자동 갱신하도록 SSSD(System Security Services Daemon) 서비스를 구성할 수 있습니다. 갱신은 티켓 수명의 절반에 도달했을 때만 시도됩니다. 자동 갱신을 사용하려면 IdM 서버의 KDC(키 배포 센터)가 재생 가능한 Kerberos 티켓을 지원하도록 구성해야 합니다.
/etc/sssd/sssd.conf
파일의 [kcm] 섹션을 수정하여 TGT 자동 갱신을 활성화할 수 있습니다. 예를 들어 60분마다 재생 가능한 KCM 저장소 TGT를 확인하도록 SSSD를 구성하고 다음 옵션을 추가하여 티켓 수명 절반에 도달한 경우 자동 갱신을 시도할 수 있습니다.
[kcm] tgt_renewal = true krb5_renew_interval = 60m
또는 기존 도메인에서 갱신할 krb5
옵션을 상속하도록 SSSD를 구성할 수 있습니다.
[kcm] tgt_renewal = true tgt_renewal_inherit = domain-name
자세한 내용은 sssd-kcm
도움말 페이지의 갱신 섹션을
참조하십시오.
Samba 기반 버전 4.14.4
The _samba_ packages have been upgraded to upstream version 4.14.4, which provides bug fixes and enhancements over the previous version:
- AD(Active Directory)의 프린터를 게시하면 안정성이 향상되었으며 AD에 게시된 정보에 프린터 기능이 추가되었습니다. 또한 Samba는 ARM64 아키텍처에 대한 Windows 드라이버를 지원합니다.
-
ctdb isnotrecmaster
명령이 제거되었습니다. 또는ctdb pnn
또는ctdb recmaster
명령을 사용합니다. -
clustered trivial Database(CTDB)
ctdb natgw master
및slave-only
매개 변수의 이름이ctdb natgw leader 및 follower
-only
로 변경되었습니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd
,nmbd
또는 winbind
서비스가 Samba를 시작하는 경우 tdb
데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb
데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm
유틸리티를 사용하여 /etc/samba/smb.conf
파일을 확인합니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트 를 참조하십시오.
The dnaInterval
구성 속성 지원
이번 업데이트를 통해 Red Hat Directory Server는 cn=<DNA_config_entry>,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config_config 항목에서 DNA(Distributed Numeric Assignment
plugins) 플러그인의 the dnaInterval
속성 설정을 지원합니다. DNA 플러그인은 지정된 속성에 대한 고유한 값을 생성합니다. 복제 환경에서 서버는 동일한 범위를 공유할 수 있습니다. 다른 서버에서 중복되지 않도록 하려면 일부 값을 건너뛰도록 dnaInterval
특성을 설정할 수 있습니다. 예를 들어 간격이 3
이고 범위의 첫 번째 숫자가 1
이면 범위에 사용된 다음 숫자는 4
, 7
, 10
입니다.
자세한 내용은 the dnaInterval 매개변수 설명을 참조하십시오.
Directory Server 기반 버전 1.4.3.27
389-ds-base
패키지가 업스트림 버전 1.4.3.27로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항의 전체 목록은 업데이트하기 전에 업스트림 릴리스 노트를 읽어보십시오.
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-24.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-23.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-22.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-21.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-20.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-19.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-18.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-1-4-3-17.html
Directory Server에서 임시 암호 지원
이 향상된 기능을 통해 관리자는 글로벌 및 로컬 암호 정책에서 임시 암호 규칙을 구성할 수 있습니다. 이러한 규칙을 사용하여 관리자가 사용자의 암호를 재설정할 때 암호가 일시적이며 지정된 시간 동안만 유효한지 지정할 수 있습니다. 또한 관리자가 암호를 변경할 때 만료 시간이 직접 시작되지 않도록 구성할 수 있습니다. 결과적으로 Directory Server를 사용하면 제한된 기간 동안 임시 암호를 사용해서만 인증할 수 있습니다. 사용자가 성공적으로 인증되면 Directory Server는 이 사용자만 암호를 변경할 수 있습니다.
(BZ#1626633)
IdM KDC에서 보안 향상을 위해 PAC 정보와 함께 Kerberos 티켓을 발행
이번 업데이트를 통해 보안을 강화하기 위해 RHEL IdM(Identity Management)은 새 배포에서 기본적으로 PAC(Privilege Attribute Certificate) 정보를 사용하여 Kerberos 티켓을 발행합니다. PAC에는 SID(Security Identifier), 그룹 멤버십 및 홈 디렉터리 정보를 포함하여 Kerberos 주체에 대한 풍부한 정보가 있습니다. 결과적으로 Kerberos 티켓은 악의적인 서버의 조작에 덜 취약합니다.
기본적으로 Microsoft AD(Active Directory)가 사용하는 SIDS는 재사용되지 않는 전역적으로 고유한 식별자입니다. SIDS express multiple namespaces: 각 도메인에는 각 개체의 SID에 접두사인 SID가 있습니다. SIDS express multiple namespaces: each domain has a SID, which is a prefix in the SID of each object.
RHEL 8.5부터 IdM 서버 또는 복제본을 설치할 때 설치 스크립트는 기본적으로 사용자 및 그룹에 대한 SID를 생성합니다. 이를 통해 IdM은 PAC 데이터를 사용할 수 있습니다. RHEL 8.5 전에 IdM을 설치하고 AD 도메인에 대한 신뢰를 구성하지 않은 경우 IdM 오브젝트에 대해 SID가 생성되지 않을 수 있습니다. IdM 오브젝트의 SID 생성에 대한 자세한 내용은 IdM에서 SID(보안 식별자) 활성화를 참조하십시오.
Kerberos 티켓에서 PAC 정보를 평가하면 훨씬 더 상세하게 리소스 액세스를 제어할 수 있습니다. 예를 들어 한 도메인의 관리자 계정은 다른 도메인의 Administrator
계정과 고유하게 다른 SID를 갖습니다.For example, the Administrator
account in one domain has a uniquely different SID than the Administrator account in any other domain. AD 도메인에 대한 신뢰가 있는 IdM 환경에서는 UID가 0인 모든 Linux root
계정과 같이 다른 위치에서 반복할 수 있는 간단한 사용자 이름 또는 UID가 아닌 전역적으로 고유한 SID를 기반으로 액세스 제어를 설정할 수 있습니다.
(Jira:RHELPLAN-159143)
Directory Server는 잠금 고갈으로 인한 데이터베이스 손상을 방지할 수 있는 모니터링 설정을 제공합니다.
이번 업데이트에서는 nsslapd-db-locks-monitoring-enable
매개변수를 cn=bdb,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config
항목에 추가합니다. 기본값인 활성화되어 있는 경우 Directory Server는 활성 데이터베이스 잠금 수가 nsslapd-db-locks-monitoring-threshold
에 구성된 백분율 임계값보다 큰 경우 모든 검색을 중단합니다. 문제가 발생하면 관리자는 cn=b
잠금 수를 늘릴 수 있습니다. 이렇게 하면 데이터 손상을 방지할 수 있습니다. 또한 관리자는 이제 스레드가 확인 사이에 대기하는 시간 간격(밀리초)을 설정할 수 있습니다.
db,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config,cn=plugins,cn=config 항목에서 nsslapd-db-locks
매개변수에서 데이터베이스
자세한 내용은 Red Hat Directory Server Configuration, Command 및 File Reference 의 매개변수 설명을 참조하십시오.
Directory Server는 retro changelog 데이터베이스에서 속성 및 접미사를 제외할 수 있습니다.
이번 개선된 기능에는 nsslapd-exclude-attrs
및 nsslapd-exclude-suffix
매개 변수가 Directory Server에 추가되었습니다. cn=Retro Changelog Plugin,cn=plugins,cn=config
항목에서 이러한 매개변수를 설정하여 retro changelog 데이터베이스에서 특정 속성 또는 접미사를 제외할 수 있습니다.
Directory Server에서 entryUUID
속성을 지원
이 향상된 기능을 통해 Directory Server는 RFC 4530 을 준수하도록 entryUUID
특성을 지원합니다. 예를 들어 entryUUID
를 지원하면 OpenLDAP에서의 마이그레이션이 더 쉬워집니다. 기본적으로 Directory Server는 entryUUID
속성만 새 항목에 추가합니다. 기존 항목에 수동으로 추가하려면 dsconf <instance_name> plugin entryuuid fixup
명령을 사용합니다.
(BZ#1944494)
nsSSLPersonalitySSL
설정에 도움이 되는 새 메시지가 추가되었습니다.
이전에는 TLS 인증서 닉네임이 구성 매개 변수 nsSSLPersonalitySSL
의 값과 일치하지 않는 경우 RHDS 인스턴스가 시작되지 않았습니다. 이러한 불일치는 고객이 이전 인스턴스에서 NSS DB를 복사하거나 인증서의 데이터를 내보내지만 nsSSLPersonalitySSL
값을 적절하게 설정하는 것을 잊어버리는 경우 발생했습니다. 이번 업데이트를 통해 사용자가 nsSSLPersonalitySSL
을 올바르게 설정하는 데 도움이 되는 추가 메시지를 로그에 확인할 수 있습니다.