8.10. IdM (Identity Management)
GPO 기반 액세스 제어를 평가할 때 SSSD에서 sAMAccountName 사용
이전 버전에서는 ldap_user_name 이 AD 클라이언트에서 sAMAccountName 이외의 값으로 설정된 경우 GPO 기반 액세스 제어에 실패했습니다. 이번 업데이트를 통해 SSSD는 GPO 기반 액세스 제어를 평가할 때 sAMAccountName 을 항상 사용합니다. ldap_user_name 이 AD 클라이언트의 sAMAccountName 과 다른 값으로 설정되어 있어도 GPO 기반 액세스 제어가 올바르게 작동합니다.
SSSD에서 사용자를 검색할 때 user_attributes 옵션에서 중복 특성 처리
이전에는 sssd.conf 에 user_attributes 옵션에 중복 속성이 포함된 경우 SSSD에서 이러한 중복을 올바르게 처리하지 않았습니다. 결과적으로 해당 속성을 가진 사용자를 검색할 수 없었습니다. 이번 업데이트를 통해 SSSD에서 중복을 올바르게 처리합니다. 결과적으로 중복 특성이 있는 사용자를 검색할 수 있습니다.
보안 매개변수 변경 사항이 올바르게 작동합니다.
이전 버전에서는 dsconf instance_name security set 명령을 사용하여 보안 매개변수를 변경하면 오류로 인해 작업이 실패했습니다.
Name 'log' is not defined
이번 업데이트를 통해 보안 매개변수 변경 사항이 예상대로 작동합니다.
Directory Server는 열린 디스크립터의 최대 수에 따라 dtablesize 를 계산합니다.
이전에는 관리자가 nsslapd-conntablesize 구성 매개변수를 사용하여 연결 테이블 크기를 수동으로 설정할 수 있었습니다. 결과적으로 연결 테이블 크기가 너무 낮으면 서버에서 지원할 수 있는 연결 수에 영향을 미쳤습니다. 이번 업데이트를 통해 Directory Server는 이제 너무 작은 연결 테이블 크기 문제를 동적으로 해결하는 연결 테이블의 크기를 계산합니다. 또한 더 이상 연결 테이블 크기를 수동으로 변경할 필요가 없습니다.
dsctl healthcheck 명령에서 기본적으로 암호 스토리지 체계 PBKDF2-SHA512 사용
이전에는 dsctl healthcheck 명령에서 기본적으로 SSHA512 암호 스토리지 스키마를 사용했습니다. 결과적으로 명령에서 새 암호 스토리지 체계 PBKDF2-SHA512 를 탐지하지 않았기 때문에 경고를 보고했습니다. 이번 업데이트를 통해 dsctl healthcheck 명령에서는 기본적으로 PBKDF2-SHA512 암호 스토리지 스키마를 사용하고 경고가 발생하지 않습니다.
일반 사용자의 페이지 검색이 성능에 영향을 미치지 않음
이전 버전에서는 Directory Server가 검색 로드에 있을 때 일반 사용자의 호출이 네트워크 이벤트를 폴링하는 스레드와 충돌하기 때문에 서버 성능에 영향을 미칠 수 있었습니다. 또한 페이지 검색을 보내는 동안 네트워크 문제가 발생하면 nsslapd-iotimeout 매개변수가 만료될 때까지 전체 서버가 응답하지 않았습니다. 이번 업데이트를 통해 네트워크 이벤트와의 경합을 방지하기 위해 잠금이 여러 부분으로 분할되었습니다. 결과적으로 일반 사용자로부터 페이징된 검색 중에 성능에 영향을 미치지 않습니다.
이제 디렉터리 서버에서 암호를 예상대로 활성화 및 비활성화할 수 있습니다.
이전 버전에서는 웹 콘솔을 사용하여 기본 암호 외에 특정 암호를 활성화하거나 비활성화하려고 하면 서버는 특정 암호만 활성화 또는 비활성화하고 다음과 유사한 오류를 기록했습니다.
Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+cipher_name>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)
현재 NSS(네트워크 보안 서비스)는 기본 암호 및 특정 암호 처리를 동시에 지원하지 않습니다. 결과적으로 Directory Server는 특정 암호 또는 기본 암호를 활성화하거나 비활성화할 수 있습니다. 이번 업데이트를 통해 기본 암호를 설정하면 웹 콘솔에서 Allow Specific Ciphers 및 Deny Specific Ciphers 필드가 지워집니다.
IdM 관리자 삭제는 더 이상 허용되지 않음
이전에는 admins 그룹의 멤버인 경우 IdM(Identity Management) 관리자 사용자를 삭제할 수 없었습니다. admin 사용자가 없으면 IdM과 AD(Active Directory) 간의 신뢰가 올바르게 작동하지 않습니다. 이번 업데이트를 통해 더 이상 admin 사용자를 삭제할 수 없습니다. 결과적으로 IdM-AD 신뢰가 올바르게 작동합니다.
이름에 혼합된 대소문자 문자가 포함된 경우 IdM 클라이언트는 신뢰할 수 있는 AD 사용자의 정보를 올바르게 검색
이전 버전에서는 사용자의 사용자 조회 또는 인증을 시도했고 신뢰할 수 있는 AD(Active Directory) 사용자에게 이름에 혼합된 케이스 문자가 포함되어 있고 IdM에서 재정의를 통해 구성된 경우 오류가 반환되어 사용자가 IdM 리소스에 액세스할 수 없었습니다.
RHBA-2023:4525 가 릴리스되면서 대소문자를 구분하지 않는 비교가 문자의 대소문자를 무시하는 대소문자를 구분하지 않는 비교로 교체됩니다. 결과적으로 사용자 이름에 혼합된 대소문자 문자가 포함되어 있고 IdM에서 재정의를 사용하여 구성된 경우에도 IdM 클라이언트는 AD 신뢰할 수 있는 도메인의 사용자를 조회할 수 있습니다.
Jira:SSSD-6096
