7.9. IdM (Identity Management)
certmonger는 등록에 challengePassword
가 필요한 경우 AD를 사용하여 SCEP 인증서를 자동으로 갱신할 수 있습니다.
이전에는 certmonger
에서 Active Directory (AD) Network Device Enrollment Service (NDES) 서버로 전송 한 SCEP 인증서 갱신 요청에 원래 인증서를 얻는 데 사용되는 challengePassword
가 포함되었습니다. 그러나 AD는 challengePassword
를 일회성 암호(OTP)로 처리합니다. 그 결과 갱신 요청이 거부되었습니다.
이번 업데이트에서는 certmonger
에 challenge_password_otp
옵션이 추가되었습니다. 이 옵션을 사용하면 certmonger
가 SCEP 갱신 요청으로 OTP를 보내지 않습니다. 또한 관리자는 값이 1
인 DisableRenewalSubjectNameMatch
항목을 AD 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\MSCEP 하위 키에 추가해야 합니다. 이러한 수정을 통해 AD에는 더 이상 서명자 인증서 및 요청된 인증서 주체 이름이 필요하지 않습니다. 그 결과 SCEP 인증서 갱신에 성공했습니다.
SCEP 갱신이 작동하도록 certmonger
및 AD 서버를 구성하려면 다음을 수행합니다.
-
AD 서버에서
regedit
를 엽니다. -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 하위키에서 새 32비트 REG_DonnectionFactory 항목
DisableRenewalSubjectNameMatch
를 추가하고 해당 값을1
로 설정합니다. certmonger
가 실행 중인 서버에서/etc/certmonger/certmonger.conf
파일을 열고 다음 섹션을 추가합니다.[scep] challenge_password_otp = yes
certmonger를 다시 시작합니다.
# systemctl restart certmonger
freeradius 프록시 서버가 두 번째 FreeRADIUS 서버를 사용할 수 없는 경우 더 이상 작동하지 않음
FreeRADIUS 서버가 프록시 서버로 구성되면 요청 메시지를 다른 FreeRADIUS 서버로 전달합니다. 이전에는 이러한 두 서버 간의 연결이 중단된 경우 FreeRADIUS 프록시 서버가 작동을 중지했습니다. 이번 수정으로 FreeRADIUS 프록시 서버는 다른 서버를 사용할 수 있게 되면 연결을 다시 설정할 수 있습니다.
PBKDF2-hashed 암호를 사용하여 FIPS 모드에서 Directory Server에 인증하는 기능이 이제 예상대로 작동합니다.
Directory Server가 연방 정보 처리 표준(FIPS) 모드에서 실행되는 경우 PK11_ExtractKeyValue()
함수를 사용할 수 없습니다. 결과적으로 암호 기반 키 중단 함수 2 (PBKDF2) 해시된 사용자는 FIPS 모드가 활성화된 경우 서버에 인증할 수 없었습니다. 이번 업데이트를 통해 Directory Server에서 PK11_Decrypt()
함수를 사용하여 암호 해시 데이터를 가져옵니다. 결과적으로 FIPS 모드에서 Directory Server에 인증하면 PBKDF2-hashed 암호가 있는 사용자가 작동합니다.
SSSD 사용자가 SSSD 캐시를 tmpfs에 마운트할 때 SSSD의 소켓 활성화가 성공합니다.
이전 버전에서는 /var/lib/sss/db/config.ldb
SSSD 구성 파일이 sssd
사용자가 소유하지 않았기 때문에 SSSD 캐시가 tmpfs
임시 파일 시스템에 마운트된 경우 SSSD의 소켓 활성화가 실패했습니다. 이번 수정으로 SSSD는 sssd
사용자 및 소켓 활성화에 성공할 때 config.ldb
파일을 생성합니다. tpmfs
에서 /var/lib/sssd/db/
SSSD 캐시 디렉토리를 마운트한 경우 sssd
사용자로 다시 마운트해야 SSSD에서 해당 위치에 config.ldb
파일을 생성할 수 있습니다.
ID 관리 가이드의 튜닝 성능에 따라 보다 빠른 성능을 위해 SSSD 캐시를 tmpfs
에 마운트한 경우에만 다음 단계를 수행합니다. 표준 상황에서 Red Hat은 표준 디스크 스토리지에서 SSSD 캐시의 기본 위치를 사용하는 것이 좋습니다.
절차
/var/lib/ss/db
가 마운트 지점인지 확인합니다.# mount -t tmpfs | grep /var/lib/sss/db tmpfs on /var/lib/sss/db type tmpfs (rw,relatime,rootcontext=system_u:object_r:sssd_var_lib_t:s0,seclabel,size=307200k,mode=700)
/var/lib/ss/db
가 유효한 마운트 지점인 경우root
사용자가 소유하고 있는지 확인합니다.# ls -l /var/lib/sss | grep db drwx------. 2 *root root* 40 Jul 26 04:48 db
db
디렉터리가 마운트 지점이고루트
사용자가 소유하고 있는 경우, SSSD 사용자로 마운트하기 위해/etc/fstab
파일의 해당 항목에uid=sssd,gid=sssd
를 추가합니다.tmpfs /var/lib/sss/db/ tmpfs size=300M,mode=0700,*uid=sssd,gid=sssd*,rootcontext=system_u:object_r:sssd_var_lib_t:s0 0 0
디렉터리를 다시 마운트하고 SSSD 서비스를 다시 시작합니다.
# systemctl stop sssd # umount /var/lib/sss/db # mount /var/lib/sss/db # systemctl start sssd
검증
/var/lib/ss/db
디렉터리가sssd
사용자가 소유하고 있는지 확인합니다.# ls -l /var/lib/sss | grep db drwx------. 2 sssd sssd 160 Jul 26 05:00 db
(BZ#2108316)