지원콘솔개발자평가판 시작연락처

11.12. IdM (Identity Management)

인쇄 서버로 Samba를 실행하고 RHEL 8.4 및 이전 버전에서 업데이트할 때 필요한 작업

이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/ECDHE/ 디렉터리를 생성하지 않습니다. Samba를 출력 서버로 사용하고 [ECDHEs] 공유에서 /var/spool/ ECDHE/를 사용하여 출력 작업을 스풀하는 경우 SELinux는 Samba 사용자가 이 디렉터리에 파일을 생성하지 못하도록 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스에서 /var/log/audit/audit.log거부된 메시지를 기록합니다. 8.4 및 이전 버전에서 시스템을 업데이트한 후 이 문제를 방지하려면 다음을 수행합니다.

  1. /etc/ ECDHE/ECDHE.conf 파일에서 [ECDHEs ] 공유를 검색합니다.
  2. 공유 정의에 path = /var/spool/ECDHE/ 가 포함된 경우 설정을 업데이트하고 path 매개 변수를 /var/tmp/ 로 설정합니다.

  3. service를 재시작 합니다. 

    # systemctl restart smbd

RHEL 8.5 이상에 Samba를 새로 설치한 경우 아무 작업도 필요하지 않습니다. 이 경우 samba-common 패키지에서 제공하는 기본 /etc/ECDHE/ECDHE.conf 파일은 이미 /var/tmp/ 디렉터리를 사용하여 스풀 출력 작업을 사용합니다.

Bugzilla:2009213

agent-uid pkidbuser 옵션과 함께 cert- fix 유틸리티를 사용하면 인증서 시스템이 중단됩니다.

agent-uid pkidbuser 옵션과 함께 cert- fix 유틸리티를 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.

Bugzilla:1729215

FIPS 모드는 공유 보안 사용을 지원하지 않습니다.

NTLMSSP 인증이 FIPS 호환이 아니기 때문에 공유 보안을 사용하여 포리스트 간 신뢰를 설정하는 것은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드가 활성화된 IdM 도메인과 AD 도메인 간에 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.

Bugzilla:1924707

버전 1.2.2로 리베이스된 후 authselect 다운그레이드

authselect 패키지는 최신 업스트림 버전 1.2.2 로 다시 작성되었습니다. authselect 다운그레이드가 지원되지 않으며 루트 를 포함한 모든 사용자에 대한 시스템 인증을 중단할 수 있습니다.

authselect 패키지를 1.2.1 이하로 다운그레이드한 경우 다음 단계를 수행하여 이 문제를 해결합니다.

  1. GRUB 부팅 화면에서 부팅하려는 커널 버전이 있는 Red Hat Enterprise Linux 를 선택하고 e 를 눌러 항목을 편집합니다.
  2. linux 로 시작하는 행 끝에 single 을 별도의 단어로 입력하고 Ctrl+X 를 눌러 부팅 프로세스를 시작합니다.
  3. 단일 사용자 모드로 부팅하면 root 암호를 입력합니다.

  4. 다음 명령을 사용하여 authselect 구성을 복원합니다. 

    # authselect select sssd --force

Bugzilla:1892761

AD 교차 영역 TGS 요청으로 IdM이 실패

IdM Kerberos 티켓의 PAM(Privilege Properties Certificate) 정보는 이제 AD(Active Directory)에서 지원하지 않는 AES SHA-2 HMAC 암호화로 서명됩니다.

결과적으로 AD 간 TGS 요청(즉, 양방향 신뢰 설정)으로의 IdM이 실패하고 다음 오류가 발생합니다. 

Generic error (see e-text) while getting credentials for <service principal>

Bugzilla:2125182

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = adid_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.

암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.

Jira:RHELPLAN-155168

NSS에서 활성화된 암호의 default 키워드가 다른 암호와 함께 작동하지 않음

Directory Server에서는 default 키워드를 사용하여 NSS(네트워크 보안 서비스)에서 활성화된 기본 암호를 참조할 수 있습니다. 그러나 명령줄 또는 웹 콘솔을 사용하여 기본 암호와 추가 암호를 활성화하려면 Directory Server에서 default 키워드를 확인하지 못합니다. 결과적으로 서버는 추가로 지정된 암호화 방식만 활성화하고 다음과 유사한 오류를 기록합니다. 

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+cipher_name>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

이 문제를 해결하려면 추가 활성화하려는 암호를 포함하여 NSS에서 기본적으로 활성화되어 있는 모든 암호를 지정합니다.

Bugzilla:1817505

RHEL 8.6에서 RHEL 8.7 이상으로 pki-core-debuginfo 업데이트 실패

pki-core-debuginfo 패키지를 RHEL 8.6에서 RHEL 8.7 이상으로 업데이트하면 실패합니다. 이 문제를 해결하려면 다음 명령을 실행합니다.

  1. yum remove pki-core-debuginfo
  2. yum update -y
  3. yum install pki-core-debuginfo
  4. yum install idm-pki-symkey-debuginfo idm-pki-tools-debuginfo

Bugzilla:2134093

레지스트리가 일치하지 않아 마이그레이션된 IdM 사용자가 로그인할 수 없습니다.

ipa migrate-ds 스크립트를 사용하여 한 IdM 배포에서 다른 IdM 배포로 사용자를 마이그레이션하는 경우 이전에 기존의 SID(Security Identifiers)에 현재 IdM 환경의 domainknative가 없기 때문에 IdM 서비스를 사용하는 데 문제가 있을 수 있습니다. 예를 들어 사용자는 kinit 유틸리티를 사용하여 Kerberos 티켓을 검색할 수 있지만 로그인할 수는 없습니다. 이 문제를 해결하려면 다음 지식 베이스 문서를 참조하십시오. 도메인이 일치하지 않아서 로그인할 수 없는 IdM 사용자는 다음 지식 베이스 문서를 참조하십시오.

Jira:RHELPLAN-109613

FIPS 모드에서 IdM은 양방향 교차 트러스트를 구축하기 위해 NTLMSSP 프로토콜 사용을 지원하지 않습니다.

New Technology LAN Manager Security Support Provider(NTLMSSP) 인증이 FIPS와 호환되지 않기 때문에 AD(Active Directory)와 FIPS 모드가 활성화된 IdM(Identity Management) 간 신뢰를 두방향으로 설정할 수 없습니다. FIPS 모드에서 IdM은 AD 도메인 컨트롤러가 인증을 시도할 때 사용하는 RC4 NTLM 해시를 허용하지 않습니다.

Bugzilla:2120572

FIPS 모드에서 IdM Vault 암호화 및 암호 해독 실패

FIPS 모드가 활성화된 경우 OpenSSL RSA-PKCS1v15 패딩 암호화가 차단됩니다. 결과적으로 IdM(Identity Management) Vault는 현재 전송 인증서로 세션 키를 래핑하기 위해 PKCS1v15 패딩을 사용하므로 올바르게 작동하지 않습니다.

Bugzilla:2122919

Kerberos 사용자의 만료 날짜를 설정할 때 잘못된 경고

Kerberos 사용자의 암호 만료 날짜를 설정하면 현재 타임스탬프가 32비트 서명된 정수 변수를 사용하여 만료 타임스탬프와 비교됩니다. 만료 날짜가 향후 68년 이상이면 정수 변수 오버플로가 발생하여 다음과 같은 경고 메시지가 표시됩니다. 

Warning: Your password will expire in less than one hour on [expiration date]

이 메시지는 무시해도 구성된 날짜와 시간에 암호가 올바르게 만료됩니다.

Bugzilla:2125318

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.