4.14. IdM (Identity Management)
이제 모든 종속 항목이 있는 AppStream 리포지토리에서 Ansible -freeipa 를 사용할 수 있습니다.
이전에는 RHEL 8에서 ansible-freeipa 패키지를 설치하기 전에 먼저 Ansible 리포지토리를 활성화하고 ansible 패키지를 설치해야 했습니다. RHEL 8.6 및 RHEL 9에서는 예비 단계 없이 ansible-freeipa 를 설치할 수 있습니다. 를 설치하면 보다 기본적인 Ansible 버전인 ansible -freeipaansible-core 패키지가 종속성으로 자동으로 설치됩니다. ansible-freeipa 및 ansible-core 는 모두 rhel-9-for-x86_64-appstream-rpms 리포지토리에서 사용할 수 있습니다.
RHEL 8.6 및 RHEL 9의 Ansible -freeipa 에는 RHEL 8에 포함된 모든 모듈이 포함되어 있습니다.
(JIRA:RHELPLAN-100359)
IdM에서 자동 마운트 위치 지원,자동 마운트 맵, 자동 마운트 키 Ansible 모듈 지원
이번 업데이트를 통해 ansible-freeipa 패키지에는 ipaautomountlocation,ipaautomountmap, ipaautomountkey 모듈이 포함되어 있습니다. IdM 위치에 있는 IdM 클라이언트에 로그인한 IdM 사용자를 위해 자동으로 마운트되도록 디렉터리를 구성하는 데 이러한 모듈을 사용할 수 있습니다. 현재는 직접 맵만 지원됩니다.
(JIRA:RHELPLAN-79161)
subID 범위 관리에 대한 지원은 shadow-utils에서 사용할 수 있습니다.
이전 버전에서는 shadow-utils 에서 subID 범위를 /etc/subuid 및 /etc/subgid 파일에서 자동으로 구성했습니다. 이번 업데이트를 통해 subid 필드에 값을 설정하여 /etc/nsswitch.conf 파일에서 subID 범위 구성을 사용할 수 있습니다. 자세한 내용은 man subuid 및 man subgid 를 참조하십시오. 또한 이번 업데이트를 통해 IPA 서버의 하위 ID 범위를 제공하는 shadow-utils 플러그인의 SSSD 구현을 사용할 수 있습니다. 이 기능을 사용하려면 subid: sss 값을 /etc/nsswitch.conf 파일에 추가합니다. 이 솔루션은 루트 없는 컨테이너를 용이하게 하기 위해 컨테이너화된 환경에서 유용할 수 있습니다.
/etc/nsswitch.conf 파일은 authselect 툴에 의해 구성된 경우 authselect 문서에 설명된 절차를 따라야 합니다. 그렇지 않은 경우 /etc/nsswitch.conf 파일을 수동으로 수정할 수 있습니다.
(JIRA:RHELPLAN-103579)
기존 RHEL ansible-freeipa 리포지토리 대신 Ansible Automation Hub
이번 업데이트를 통해 표준 RHEL 리포지토리에서 다운로드하지 않고 AAH(Ansible Automation Hub)에서 ansible-freeipa 모듈을 다운로드할 수 있습니다. AAH를 사용하면 이 리포지토리에서 사용할 수 있는 ansible-freeipa 모듈의 빠른 업데이트의 이점을 누릴 수 있습니다.
AAH에서 ansible-freeipa 역할 및 모듈은 컬렉션 형식으로 배포됩니다. AAH 포털의 콘텐츠에 액세스하려면 Ansible Automation Platform (AAP) 서브스크립션이 필요합니다. ansible 버전 2.9 이상도 필요합니다.
redhat.rhel_idm 컬렉션에는 기존 ansible-freeipa 패키지와 동일한 콘텐츠가 있습니다. 그러나 컬렉션 형식은 네임스페이스와 컬렉션 이름으로 구성된 정규화된 FQCN(정규화된 컬렉션 이름)을 사용합니다. 예를 들어 redhat.rhel_idm.ipadnsconfig 모듈은 RHEL 리포지토리에서 제공하는 ansible-freeipa 의 ipadnsconfig 모듈에 해당합니다. 네임스페이스와 컬렉션 이름을 조합하면 개체가 고유하며 충돌 없이 공유할 수 있습니다.
(JIRA:RHELPLAN-103147)
이제 Ansible-freeipa 모듈이 IdM 클라이언트에서 원격으로 실행될 수 있습니다.
이전에는 ansible-freeipa 모듈을 IdM 서버에서만 실행할 수 있었습니다. 이를 위해서는 Ansible 관리자가 IdM 서버에 대한 SSH 액세스 권한을 보유하여 잠재적인 보안 위협을 초래해야 했습니다. 이번 업데이트를 통해 IdM 클라이언트인 시스템에서 ansible-freeipa 모듈을 원격으로 실행할 수 있습니다. 따라서 IdM 구성 및 엔터티를 보다 안전한 방식으로 관리할 수 있습니다.
IdM 클라이언트에서 ansible-freeipa 모듈을 실행하려면 다음 옵션 중 하나를 선택합니다.
-
플레이북의
hosts변수를 IdM 클라이언트 호스트로 설정합니다. -
ansible-free행을 추가합니다.ipa모듈을 사용하는 플레이북 작업에 ipa_context: 클라이언트
ipa_context 변수를 IdM 서버의 클라이언트로 설정할 수도 있습니다. 그러나 서버 컨텍스트는 일반적으로 더 나은 성능을 제공합니다. ipa_context 가 설정되지 않은 경우 ansible-freeipa 는 서버 또는 클라이언트에서 실행 중인지 확인하고 그에 따라 컨텍스트를 설정합니다. IdM 클라이언트 호스트에서 컨텍스트 가 server 로 설정된 ansible-freeipa 모듈을 실행하면 라이브러리가 누락된 오류가 발생합니다.
(JIRA:RHELPLAN-103146)
ipadnsconfig 모듈에는 global forwarder를 제외하려면 action: member 가 필요합니다.
이번 업데이트를 통해 ansible-freeipa ipadnsconfig 모듈을 사용하여 IdM(Identity Management)에서 전역 전달자를 제외하려면 state: absent 옵션 외에 action: member 옵션을 사용해야 합니다. action: member 를 사용하지 않고 플레이북에서 state: absent 만 사용하는 경우 플레이북이 실패합니다. 결과적으로 모든 글로벌 전달자를 제거하려면 플레이북에서 모두 개별적으로 지정해야 합니다. 반대로 state: present 옵션에는 action: member 가 필요하지 않습니다.
Identity Management는 이제 기본적으로 SHA384withRSA 서명을 지원
이번 업데이트를 통해 IdM의 CA(인증 기관)는 RSA 암호화 서명 알고리즘을 사용하여 SHA-384를 지원합니다. SHA384withRSA는 연방 정보 처리 표준(FIPS)을 준수합니다.
SSSD 기본 SSH 해싱 값이 OpenSSH 설정과 일치합니다.
ssh_hash_known_hosts 의 기본값이 false로 변경되었습니다. 이제 기본적으로 해시 호스트 이름이 아닌 OpenSSH 설정과 일치합니다.
그러나 호스트 이름을 계속 해시해야 하는 경우 /etc/sssd/sssd.conf 구성 파일의 [ssh] 섹션에 ssh_hash_known_hosts = True 를 추가합니다.
Samba 버전 4.15.5로 업데이트
samba 패키지가 이전 버전에 비해 버그 수정 및 개선 사항을 제공하는 업스트림 버전 4.15.5로 업그레이드되었습니다.
- 일관된 사용자 환경을 위해 Samba 유틸리티의 옵션 이름이 변경 및 제거됨
- 이제 서버 멀티 채널 지원이 기본적으로 활성화되어 있습니다.
-
Windows 기술 프리뷰에서만 사용되었던
SMB2_22,SMB2_24및SMB3_10전화가 제거되었습니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 다운그레이드 tdb 데이터베이스 파일을 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.
디렉터리 서버 버전 1.4.3.28로 다시 기반
389-ds-base 패키지가 업스트림 버전 1.4.3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
- 복제본의 잠재적인 교착 상태가 수정되었습니다.
-
dnaInterval가0으로 설정되면 서버가 더 이상 예기치 않게 종료되지 않습니다. - 연결 처리 성능이 향상되었습니다.
-
ACI(Access Control instructions)에서
targetfilter의 성능이 향상되었습니다.
Directory Server는 이제 tmpfs 파일 시스템에 데이터베이스의 메모리 매핑된 파일을 저장합니다.
Directory Server에서 nsslapd-db-home-directory 매개 변수는 데이터베이스의 메모리 매핑된 파일의 위치를 정의합니다. 이번 개선된 기능을 통해 매개변수의 기본값을 /var/lib/dirsrv/slapd-instance_name/db/ 에서 /dev/shm/ 로 변경합니다. 결과적으로 tmpfs 파일 시스템에 저장된 내부 데이터베이스를 사용하면 Directory Server 성능이 향상됩니다.
