지원콘솔개발자평가판 시작연락처

10.13. IdM (Identity Management)

openssh-ldap 가 더 이상 사용되지 않음

openssh-ldap 하위 패키지는 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다. openssh-ldap 하위 패키지는 업스트림에서 유지 관리되지 않으므로 Red Hat은 다른 IdM 솔루션과 더 잘 통합되고 더 안전한 SSSD 및 sss_ssh_authorizedkeys 도우미를 사용하는 것이 좋습니다.

기본적으로 SSSD ldapipa 공급자는 사용 가능한 경우 사용자 오브젝트의 sshPublicKey LDAP 특성을 읽습니다. AD에는 공개 키를 저장할 기본 LDAP 속성이 없으므로 AD(Active Directory)에서 SSH 공개 키를 검색하는 데 ad 공급자 또는 IdM 신뢰할 수 있는 도메인에 대한 기본 SSSD 구성을 사용할 수 없습니다.

sss_ ssh _authorizedkeys 도우미가 SSSD에서 키를 가져올 수 있도록 sssd.conf 파일의 services 옵션에 ssh 를 추가하여 ssh 응답자를 활성화합니다. 자세한 내용은 sssd.conf(5) 매뉴얼 페이지를 참조하십시오.

sshdsss_ssh_authorizedkeys 를 사용하도록 허용하려면 AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeysAuthorizedKeysCommandUser nobody 옵션을 /etc/ssh/sshd_config 파일에 sss_ssh_authorizedkeys(1) 도움말 페이지에 추가합니다.

Bugzilla:1871025

DES 및 3DES 암호화 유형이 제거되었습니다.

보안상의 이유로 DES(Data Encryption Standard) 알고리즘은 RHEL 7 이후 기본적으로 사용되지 않으며 비활성화되어 있습니다. Kerberos 패키지를 최근 리베이스하여 RHEL 8에서 단일 DES(DES) 및ation-DES (3DES) 암호화 유형이 제거되었습니다.

DES 또는 3DES 암호화만 사용하도록 서비스 또는 사용자를 구성한 경우 다음과 같은 서비스 중단이 발생할 수 있습니다.

  • Kerberos 인증 오류
  • unknown enctype 암호화 오류
  • DES로 암호화된 데이터베이스 마스터 키(K/M)가 있는 KDC(Kerberos Distribution Center)가 시작되지 않음

업그레이드를 준비하려면 다음 작업을 수행합니다.

  1. test 5를 사용하여 DES 또는 3DES 암호화를 사용하는지 확인합니다. 오픈 소스 Python 스크립트를 확인하십시오. GitHub에 대한 자세한 내용은 GitHub에서5check 를 참조하십시오.
  2. Kerberos 보안 주체와 함께 DES 또는 3DES 암호화를 사용하는 경우 Advanced Encryption Standard(AES)와 같이 지원되는 암호화 유형으로 다시 키를 입력합니다. 키 변경에 대한 지침은 MIT Kerberos 문서에서 DES 종료를 참조하십시오.

  3. 업그레이드하기 전에 다음 Kerberos 옵션을 일시적으로 설정하여 DES 및 3DES의 독립성을 테스트합니다.

    1. CloudEvent의 /var/kerberos/krb5krb5kdc/kdc.conf 에서 supported_enctypes 를 설정하고 des 또는 des3 을 포함하지 마십시오.
    2. 모든 호스트에 대해 /etc/krb5.conf/etc/krb5.conf.d 의 모든 파일에 대해 allow_weak_cryptofalse 로 설정합니다. 기본적으로 false입니다.
    3. 모든 호스트의 경우 /etc/krb5.conf/etc/krb5.conf.d 의 모든 파일에 대해 allowed_enctypes,default_tgs_enctypes, default_tkt_enctypes, des 또는 des3 을 포함하지 마십시오.
  4. 이전 단계의 테스트 Kerberos 설정으로 서비스가 중단되지 않으면 해당 서비스를 제거하고 업그레이드하십시오. 최신 Kerberos 패키지로 업그레이드한 후에는 해당 설정이 필요하지 않습니다.

Bugzilla:1877991

libwbclient 의 SSSD 버전이 삭제됨

RHEL 8.4에서는 libwbclient 패키지의 SSSD 구현이 더 이상 사용되지 않았습니다. 최신 버전의 Samba와 함께 사용할 수 없으므로 libwbclient 의 SSSD 구현이 제거되었습니다.

Bugzilla:1947671

ctdb 서비스의 독립형 사용이 더 이상 사용되지 않음

RHEL 8.4 이후 고객은 다음 조건이 모두 적용되는 경우에만 ctdb 클러스터형 Samba 서비스를 사용하는 것이 좋습니다.

  • ctdb 서비스는 resource-agent ctdb 를 사용하여 pacemaker 리소스로 관리됩니다.
  • ctdb 서비스는 Red Hat Gluster Storage 제품 또는 polkit2 파일 시스템에서 제공하는 GlusterFS 파일 시스템이 포함된 스토리지 볼륨을 사용합니다.

ctdb 서비스의 독립형 사용 사례는 더 이상 사용되지 않으며 Red Hat Enterprise Linux의 다음 주요 릴리스에는 포함되지 않습니다. Samba 지원 정책에 대한 자세한 내용은 RHEL 복구 스토리지 지원 정책 - ctdb 일반 정책을 참조하십시오.

Bugzilla:1916296

WinSync를 통한 IdM과의 간접 AD 통합이 더 이상 사용되지 않음

WinSync는 몇 가지 기능 제한으로 인해 RHEL 8에서 더 이상 적극적으로 개발되지 않습니다.

  • WinSync는 하나의 AD(Active Directory) 도메인만 지원합니다.
  • 암호 동기화를 수행하려면 AD 도메인 컨트롤러에 추가 소프트웨어를 설치해야 합니다.

더 나은 리소스 및 보안 분리 기능을 갖춘 보다 강력한 솔루션을 위해 Red Hat은 Active Directory와 간접적인 통합을 위해 교차 포리스트 신뢰를 사용하는 것이 좋습니다. 직접 통합 문서를 참조하십시오.

Jira:RHELPLAN-100400

SSSD 암시적 파일 공급자 도메인은 기본적으로 비활성화되어 있습니다.

/etc/sssd/sssd.conf 구성 파일의 enable_files_domain 설정 기본값이 true 에서 false 로 변경되었습니다. 즉, 로컬 파일 /etc/passwd/etc/group 에서 사용자 및 그룹 정보를 검색하는 SSSD 암시적 파일 공급자 도메인이 기본적으로 비활성화되어 있습니다.

SSSD 대신 기본 glibc 파일 모듈은 로컬 사용자를 제공합니다. sssd.conf 파일에 도메인을 정의하지 않으면 SSSD가 자동으로 시작되지 않습니다.

로컬 사용자의 스마트 카드 인증과 같은 특정 사용 사례에 대해 SSSD 파일 공급자를 구현하는 것은 여전히 사용할 수 있습니다.

Jira:RHELPLAN-139456

PDC 또는 BDC로 Samba를 실행하는 것은 더 이상 사용되지 않습니다.

관리자가 PDC(기본 도메인 컨트롤러)와 같은 NT4로 Samba를 실행할 수 있는 클래식 도메인 컨트롤러 모드는 더 이상 사용되지 않습니다. 이러한 모드를 구성하는 코드 및 설정은 향후 Samba 릴리스에서 제거될 예정입니다.

RHEL 8의 Samba 버전이 PDC 및 BDC 모드를 제공하는 한 Red Hat은 NT4 도메인을 지원하는 Windows 버전이 있는 기존 설치에서만 이러한 모드를 지원합니다. Windows 7 및 Windows Server 2008 R2 이후의 Microsoft 운영 체제는 NT4 도메인을 지원하지 않기 때문에 새로운 Samba NT4 도메인을 설정하지 않는 것이 좋습니다.

PDC를 사용하여 Linux 사용자만 인증하는 경우 Red Hat은 RHEL 서브스크립션에 포함된 Red Hat IdM(Identity Management) 으로 마이그레이션할 것을 제안합니다. 그러나 Windows 시스템을 IdM 도메인에 연결할 수는 없습니다. Red Hat은 백그라운드에서 PDC 기능 IdM이 사용하는 PDC 기능을 계속 지원합니다.

Red Hat은 Samba를 AD DC(Domain Controller)로 실행하는 것을 지원하지 않습니다.

Bugzilla:1926114

SMB1 프로토콜은 Samba에서 더 이상 사용되지 않음

Samba 4.11부터 비보안 SMB1(Server Message Block 버전 1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

보안을 개선하기 위해 기본적으로 SMB1은 Samba 서버 및 클라이언트 유틸리티에서 비활성화되어 있습니다.

Jira:RHELDOCS-16612

FreeRADIUS에 대한 제한된 지원

RHEL 8에서는 FreeRADIUS 오퍼링의 일부로 다음 외부 인증 모듈이 더 이상 사용되지 않습니다.

  • MySQL, PostgreSQL, SQlite 및 unixODBC 데이터베이스 커넥터
  • Perl 언어 모듈
  • REST API 모듈
참고

기본 패키지의 일부로 제공되는 PAM 인증 모듈 및 기타 인증 모듈은 영향을 받지 않습니다.

예를 들어 Fedora 프로젝트에서는 더 이상 사용되지 않는 모듈의 교체를 찾을 수 있습니다.

또한 freeradius 패키지에 대한 지원 범위는 향후 RHEL 릴리스에서 다음 사용 사례로 제한됩니다.

  • IdM(Identity Management)이 있는 인증 공급자로 FreeRADIUS를 인증 소스로 사용합니다. 인증은 krb5 및 LDAP 인증 패키지를 통해 또는 기본 FreeRADIUS 패키지에서 PAM 인증으로 수행됩니다.
  • FreeRADIUS를 사용하여 Python 3 인증 패키지를 통해 IdM의 인증에 대한 소스 제공

이러한 사용 중단과 달리 Red Hat은 FreeRADIUS를 사용하여 다음 외부 인증 모듈의 지원을 강화할 것입니다.

  • krb5 및 LDAP 기반 인증
  • Python 3 인증

이러한 통합 옵션에 중점을 두는 것은 Red Hat IdM의 전략적 방향과 긴밀히 조정되는 것입니다.

Jira:RHELDOCS-17573

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.