11.11. IdM (Identity Management)
인쇄 서버로 Samba를 실행하고 RHEL 8.4 및 이전 버전에서 업데이트할 때 필요한 작업
이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/samba/ 디렉터리를 생성하지 않습니다. Samba를 출력 서버로 사용하고 [ shares] 공유에서 /var/spool/samba/ 를 spool 출력 작업에 사용하는 경우 SELinux는 Samba 사용자가 이 디렉터리에 파일을 생성하지 못하도록 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스가 /var/log/audit/audit.log 에 거부 된 메시지를 기록합니다. 8.4 및 이전 버전에서 시스템을 업데이트한 후 이 문제를 방지하려면 다음을 수행합니다.
-
/etc/samba/smb.conf파일에서[ Cryostats]공유를 검색합니다. -
공유 정의에
path = /var/spool/samba/가 포함된 경우 설정을 업데이트하고path매개변수를/var/tmp/로 설정합니다. smbd서비스를 다시 시작합니다.# systemctl restart smbd
RHEL 8.5 이상에 Samba를 새로 설치한 경우 작업이 필요하지 않습니다. 이 경우 samba-common 패키지에서 제공하는 기본 /etc/samba/smb.conf 파일은 이미 /var/tmp/ 디렉터리를 사용하여 출력 작업을 spool로 사용합니다.
Bugzilla:2009213[1]
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상되었습니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.
FIPS 모드는 공유 보안을 사용하여 교차 포리스트 신뢰 설정을 지원하지 않습니다.
NTLMSSP 인증이 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 교차 포리스트 신뢰 설정은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드가 활성화된 IdM 도메인과 AD 도메인 간의 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.
버전 1.2.2로 리베이스 후 authselect 다운그레이드
authselect 패키지는 최신 업스트림 버전 1.2.2 로 변경되었습니다. 다운그레이드 authselect 는 지원되지 않으며 root 를 포함하여 모든 사용자에 대한 시스템 인증을 중단합니다.
authselect 패키지를 1.2.1 이하로 다운그레이드한 경우 다음 단계를 수행하여 이 문제를 해결합니다.
-
GRUB 부팅 화면에서 부팅하려는 커널 버전이 있는
Red Hat Enterprise Linux를 선택하고e를 눌러 항목을 편집합니다. -
linux로 시작하는 행 끝에single을 별도의 단어로 입력하고Ctrl+X를 눌러 부팅 프로세스를 시작합니다. - 단일 사용자 모드에서 부팅할 때 root 암호를 입력합니다.
다음 명령을 사용하여 authselect 구성을 복원합니다.
# authselect select sssd --force
IdM to AD cross-realm TGS 요청 실패
IdM Kerberos 티켓의 권한 속성 인증서(PAC) 정보는 이제 AD(Active Directory)에서 지원하지 않는 AES SHA-2 HMAC 암호화로 서명됩니다.
결과적으로 IdM에서 AD 간 TGS 요청(즉, 양방향 신뢰 설정)이 실패하고 다음 오류가 발생합니다.
Generic error (see e-text) while getting credentials for <service principal>
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 위험이 있습니다.
ID 조회에 TLS 없이 ldap:// 를 사용하는 경우 공격 벡터가 발생할 수 있습니다. 특히 MITTM(man-in-the-middle) 공격으로 공격자가 LDAP 검색에서 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS, ldap_id_use_start_tls 를 적용하는 SSSD 구성 옵션은 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 용으로 암호화되지 않은 통신을 사용하는 것이 안전한지 확인합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하지 않는 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 향후 RHEL 릴리스에서 변경될 예정입니다.
Jira:RHELPLAN-155168[1]
RHEL 8.6에서 RHEL 8.7 이상으로의 PKI -core-debuginfo 업데이트가 실패했습니다.
RHEL 8.6에서 RHEL 8.7 이상으로 pki-core-debuginfo 패키지를 업데이트할 수 없습니다. 이 문제를 해결하려면 다음 명령을 실행합니다.
-
yum remove pki-core-debuginfo -
yum update -y -
yum install pki-core-debuginfo -
yum install idm-pki-symkey-debuginfo idm-pki-tools-debuginfo
Jira:RHEL-13125[1]
마이그레이션된 IdM 사용자는 일치하지 않는 도메인 SID로 인해 로그인할 수 없을 수 있습니다.
ipa migrate-ds 스크립트를 사용하여 IdM 배포에서 사용자를 다른 IdM 배포로 마이그레이션한 경우 이전 SID(보안 식별자)에 현재 IdM 환경의 도메인 SID가 없기 때문에 IdM 서비스를 사용하는 데 문제가 있을 수 있습니다. 예를 들어 해당 사용자는 kinit 유틸리티를 사용하여 Kerberos 티켓을 검색할 수 있지만 로그인할 수 없습니다. 이 문제를 해결하려면 다음 지식 베이스 문서를 참조하십시오. 마이그레이션된 IdM 사용자는 일치하지 않는 도메인 SID로 인해 로그인할 수 없습니다.
Jira:RHELPLAN-109613[1]
FIPS 모드에서 IdM은 NTLMSSP 프로토콜 사용을 지원하지 않습니다.
NTLMSSP(New Technology LAN Manager Security Support Provider) 인증이 FIPS와 호환되지 않기 때문에 FIPS(Active Directory)와 FIPS 모드가 활성화된 IdM(Identity Management) 간 양방향 교차 포리스트 트러스트를 설정할 수 없습니다. FIPS 모드의 IdM은 AD 도메인 컨트롤러에서 인증을 시도할 때 사용하는 RC4 NTLM 해시를 허용하지 않습니다.
FIPS 모드에서 IdM Vault 암호화 및 암호 해독이 실패합니다.
FIPS 모드가 활성화된 경우 OpenSSL RSA-PKCS1v15 패딩 암호화가 차단됩니다. 결과적으로 IdM(Identity Management) Vault가 현재 전송 인증서로 세션 키를 래핑하는 데 PKCS1v15 패딩을 사용하므로 제대로 작동하지 않습니다.
Jira:RHEL-12153[1]
Kerberos 주체의 만료 날짜를 설정할 때 잘못된 경고
Kerberos 주체에 대한 암호 만료 날짜를 설정하면 현재 타임스탬프가 32비트 부호 있는 정수 변수를 사용하여 만료 타임스탬프와 비교됩니다. 만료 날짜가 향후 68년 이상이면 정수 변수 오버플로로 다음과 같은 경고 메시지가 표시됩니다.
Warning: Your password will expire in less than one hour on [expiration date]
이 메시지를 무시하면 구성된 날짜와 시간에 암호가 올바르게 만료됩니다.
