검색

7.9. IdM (Identity Management)

download PDF

certmonger는 등록에 challengePassword 가 필요한 경우 AD를 사용하여 SCEP 인증서를 자동으로 갱신할 수 있습니다.

이전에는 certmonger 에서 Active Directory (AD) Network Device Enrollment Service (NDES) 서버로 전송 한 SCEP 인증서 갱신 요청에 원래 인증서를 얻는 데 사용되는 challengePassword 가 포함되었습니다. 그러나 AD는 challengePassword 를 일회성 암호(OTP)로 처리합니다. 그 결과 갱신 요청이 거부되었습니다.

이번 업데이트에서는 certmongerchallenge_password_otp 옵션이 추가되었습니다. 이 옵션을 사용하면 certmonger 가 SCEP 갱신 요청으로 OTP를 보내지 않습니다. 또한 관리자는 값이 1DisableRenewalSubjectNameMatch 항목을 AD 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\MSCEP 하위 키에 추가해야 합니다. 이러한 수정을 통해 AD에는 더 이상 서명자 인증서 및 요청된 인증서 주체 이름이 필요하지 않습니다. 그 결과 SCEP 인증서 갱신에 성공했습니다.

SCEP 갱신이 작동하도록 certmonger 및 AD 서버를 구성하려면 다음을 수행합니다.

  1. AD 서버에서 regedit 를 엽니다.
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 하위키에서 새 32비트 REG_DonnectionFactory 항목 DisableRenewalSubjectNameMatch 를 추가하고 해당 값을 1 로 설정합니다.
  3. certmonger 가 실행 중인 서버에서 /etc/certmonger/certmonger.conf 파일을 열고 다음 섹션을 추가합니다.

    [scep]
    challenge_password_otp = yes
  4. certmonger를 다시 시작합니다.

    # systemctl restart certmonger

(BZ#1577570)

freeradius 프록시 서버가 두 번째 FreeRADIUS 서버를 사용할 수 없는 경우 더 이상 작동하지 않음

FreeRADIUS 서버가 프록시 서버로 구성되면 요청 메시지를 다른 FreeRADIUS 서버로 전달합니다. 이전에는 이러한 두 서버 간의 연결이 중단된 경우 FreeRADIUS 프록시 서버가 작동을 중지했습니다. 이번 수정으로 FreeRADIUS 프록시 서버는 다른 서버를 사용할 수 있게 되면 연결을 다시 설정할 수 있습니다.

(BZ#2030173)

PBKDF2-hashed 암호를 사용하여 FIPS 모드에서 Directory Server에 인증하는 기능이 이제 예상대로 작동합니다.

Directory Server가 연방 정보 처리 표준(FIPS) 모드에서 실행되는 경우 PK11_ExtractKeyValue() 함수를 사용할 수 없습니다. 결과적으로 암호 기반 키 중단 함수 2 (PBKDF2) 해시된 사용자는 FIPS 모드가 활성화된 경우 서버에 인증할 수 없었습니다. 이번 업데이트를 통해 Directory Server에서 PK11_Decrypt() 함수를 사용하여 암호 해시 데이터를 가져옵니다. 결과적으로 FIPS 모드에서 Directory Server에 인증하면 PBKDF2-hashed 암호가 있는 사용자가 작동합니다.

(BZ#2033398)

SSSD 사용자가 SSSD 캐시를 tmpfs에 마운트할 때 SSSD의 소켓 활성화가 성공합니다.

이전 버전에서는 /var/lib/sss/db/config.ldb SSSD 구성 파일이 sssd 사용자가 소유하지 않았기 때문에 SSSD 캐시가 tmpfs 임시 파일 시스템에 마운트된 경우 SSSD의 소켓 활성화가 실패했습니다. 이번 수정으로 SSSD는 sssd 사용자 및 소켓 활성화에 성공할 때 config.ldb 파일을 생성합니다. tpmfs 에서 /var/lib/sssd/db/ SSSD 캐시 디렉토리를 마운트한 경우 sssd 사용자로 다시 마운트해야 SSSD에서 해당 위치에 config.ldb 파일을 생성할 수 있습니다.

주의

ID 관리 가이드의 튜닝 성능에 따라 보다 빠른 성능을 위해 SSSD 캐시를 tmpfs 에 마운트한 경우에만 다음 단계를 수행합니다. 표준 상황에서 Red Hat은 표준 디스크 스토리지에서 SSSD 캐시의 기본 위치를 사용하는 것이 좋습니다.

절차

  1. /var/lib/ss/db 가 마운트 지점인지 확인합니다.

    # mount -t tmpfs | grep /var/lib/sss/db
    tmpfs on /var/lib/sss/db type tmpfs (rw,relatime,rootcontext=system_u:object_r:sssd_var_lib_t:s0,seclabel,size=307200k,mode=700)
  2. /var/lib/ss/db 가 유효한 마운트 지점인 경우 root 사용자가 소유하고 있는지 확인합니다.

    # ls -l /var/lib/sss | grep db
    drwx------. 2 *root root* 40 Jul 26 04:48 db
  3. db 디렉터리가 마운트 지점이고 루트 사용자가 소유하고 있는 경우, SSSD 사용자로 마운트하기 위해 /etc/fstab 파일의 해당 항목에 uid=sssd,gid=sssd 를 추가합니다.

    tmpfs /var/lib/sss/db/ tmpfs size=300M,mode=0700,*uid=sssd,gid=sssd*,rootcontext=system_u:object_r:sssd_var_lib_t:s0 0 0
  4. 디렉터리를 다시 마운트하고 SSSD 서비스를 다시 시작합니다.

    # systemctl stop sssd
    # umount /var/lib/sss/db
    # mount /var/lib/sss/db
    # systemctl start sssd

검증

  • /var/lib/ss/db 디렉터리가 sssd 사용자가 소유하고 있는지 확인합니다.

    # ls -l /var/lib/sss | grep db
    drwx------. 2 sssd sssd 160 Jul 26 05:00 db

(BZ#2108316)

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.