4.12. IdM (Identity Management)
SSSD에서 SID 요청에 대한 메모리 캐싱 지원
이 향상된 기능을 통해 SSSD는 SID의 GID 및 UID 조회인 SID 요청에 대한 메모리 캐싱을 지원하며 그 반대의 경우도 마찬가지입니다. 메모리 캐싱은 예를 들어 Samba 서버에 대량의 파일을 복사하거나 복사하는 경우 성능이 향상됩니다.
(JIRA:RHELPLAN-123369)
IdM은 Windows Server 2022를 사용한 AD 트러스트 구성을 지원
이번 개선된 기능을 통해 IdM(Identity Management) 도메인과 Windows Server 2022를 실행하는 도메인 컨트롤러를 사용하는 Active Directory 프레스타일 간 트러스트를 설정할 수 있습니다.
이제 IdM에서 사용자 암호가 만료된 후 허용되는 LDAP 바인딩 수 제한 지원
이번 개선된 기능을 통해 IdM(Identity Management) 사용자의 암호가 만료될 때 허용되는 LDAP 바인딩 수를 설정할 수 있습니다.
- -1
- IdM은 사용자가 암호를 재설정하기 전에 사용자에게 무제한 LDAP 바인딩을 부여합니다. 이는 이전 동작과 일치하는 기본값입니다.
- 0
- 이 값은 암호가 만료되면 모든 LDAP 바인딩을 비활성화합니다. 사용자는 실제로 암호를 즉시 재설정해야 합니다.
- 1-MAXINT
- 입력한 값은 만료 후 많은 바인딩을 허용합니다.
이 값은 글로벌 암호 정책 및 그룹 정책에서 설정할 수 있습니다.
개수는 서버별로 저장됩니다.
사용자가 자신의 암호를 재설정하려면 현재 만료된 암호로 바인딩해야 합니다. 사용자가 모든 만료 후 바인드된 경우 암호는 관리적으로 재설정해야 합니다.
이제 IdM은 지정된 이름이 이름 검색 중에 신뢰할 수 있는 AD 도메인의 사용자인지 또는 그룹인지를 나타냅니다.
이번 업데이트를 통해 새로운 getorigbyusername() 및 getorigbygroupname() 호출이 libsss_nss_idmap 에 추가되었습니다. 또한 IdM(Identity Management)이 AD(Active Directory) 도메인의 신뢰에 있을 때 사용자와 그룹 조회가 더 강력해집니다. 사용자 또는 그룹 조회를 수행할 때 IdM은 지정된 이름이 신뢰할 수 있는 도메인의 사용자 또는 그룹에 속하는지 여부를 표시할 수 있습니다.
새로운 ipasmartcard_server 및 ipasmartcard_client 역할
이번 업데이트를 통해 ansible-freeipa 패키지에서는 스마트 카드 인증을 위해 IdM(Identity Management) 서버 및 클라이언트를 구성하는 Ansible 역할을 제공합니다. ipasmartcard_server 및 ipasmartcard_client 역할은 ipa-advise 스크립트를 교체하여 통합을 자동화하고 단순화합니다. 동일한 인벤토리 및 이름 지정 스키마가 다른 ansible-freeipa 역할에서와 같이 사용됩니다.
Samba 버전 4.16.1으로 업데이트
samba 패키지가 업스트림 버전 4.16.1으로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다.
-
기본적으로,
d프로세스는 필요에 따라 새로운samba-dcerpcd프로세스를 자동으로 시작하여 분산 컴퓨팅 환경 / 원격 프로시저 functions (DCERPC)를 제공합니다. Samba 4.16 이상에서는 항상 DCERPC를 사용하려면samba-dcerpcd가 필요합니다./etc/ECDHE/smb.conf파일의[global]섹션에서rpc start on demand helpers설정을 비활성화하는 경우 독립 실행형 모드에서samba-dcerpcd를 실행할systemd서비스 장치를 생성해야 합니다. CTDB(Cluster Trivial Database)
복구 마스터역할의 이름이리더로변경되었습니다. 그 결과 다음과 같은ctdb하위 명령 이름이 변경되었습니다.-
리더소개 -
setrecmasterroletosetleaderrole
-
-
DestinationRule
복구 잠금구성의 이름이클러스터 잠금으로 변경되었습니다. - now now uses leader broadcasts and an associated timeout to determine if an selection is required.
서버 메시지 블록 버전 1(SMB1) 프로토콜은 Samba 4.11 이후 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. samba d,nmbd, 또는 winbind 서비스가 시작되면 Samba가 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/ECDHE/smb.conf 파일을 확인합니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.
SSSD는 이제 Windows Server 2022와 직접 통합을 지원
이 향상된 기능을 통해 SSSD를 사용하여 Windows Server 2022를 실행하는 도메인 컨트롤러를 사용하는 Active Directory 마운더와 RHEL 시스템을 직접 통합할 수 있습니다.
Directory Server에서 Auto membership 플러그인 작업을 취소하는 기능을 지원합니다.
이전 버전에서는 Directory Server에 복잡한 구성(가장 큰 그룹, 복잡한 규칙 및 다른 플러그인과의 상호 작용)이 있는 경우 서버에서 Auto membership 플러그인의 CPU 사용량을 생성할 수 있었습니다. 이번 개선된 기능을 통해 자동 멤버십 플러그인 작업을 취소할 수 있습니다. 결과적으로 성능 문제가 더 이상 발생하지 않습니다.
Directory Server에서 ldapdelete를 사용할 때 재귀 삭제 작업 지원
이 향상된 기능으로 Directory Server는 이제 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 컨트롤을 지원합니다. 결과적으로 ldapdelete 유틸리티를 사용하여 상위 항목의 하위 항목을 반복적으로 삭제할 수 있습니다.
Directory Server 설치 중에 기본 복제 옵션을 설정할 수 있습니다.
이번 개선된 기능을 통해 .inf 파일을 사용하여 인스턴스 설치 중에 인증 자격 증명 및 변경 로그 트리밍과 같은 기본 복제 옵션을 구성할 수 있습니다.
Directory Server에서 복제 변경 로그 트리밍이 기본적으로 활성화되어 있습니다.
이전에는 기본적으로 복제 변경 로그 파일을 자동으로 트리밍하도록 Directory Server가 구성되지 않았습니다. 그 결과 changelog 파일이 매우 커질 수 있습니다. 이번 업데이트를 통해 Directory Server는 기본적으로 7일이 지난 changelog 항목을 트리밍하여 changelog 파일의 과도한 증가를 방지합니다.
PKI 패키지의 이름이 idm-pki으로 변경
이제 IDM 패키지와 Red Hat Certificate System 항목을 더 잘 구분하기 위해 다음 pki 패키지의 이름이 idm-pki 으로 변경되었습니다.
-
idm-pki-symkey -
idm-pki-tools -
idm-pki-symkey-debuginfo -
idm-pki-tools-debuginfo -
idm-pki-acme -
IdM-pki-base -
idm-pki-base-java -
idm-pki-ca -
idm-pki-kra -
idm-pki-server -
python3-idm-pki
pki-core 는 변경되지 않습니다( pki-core-debuginfo 및 pki-core-debugsource도 포함됨).
