4.10. IdM (Identity Management)
Samba 버전 4.18.4로 업데이트
samba 패키지가 업스트림 버전 4.18.4로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항:
- 이전 릴리스의 보안 개선으로 인해 메타데이터가 높은 워크로드를 위해 SMB(Server Message Block) 서버의 성능에 영향을 미쳤습니다. 이번 업데이트에서는 이 시나리오의 성능이 향상됩니다.
-
새로운
wbinfo --change-secret-at=<domain_controller> 명령은 지정된 도메인 컨트롤러에서 신뢰 계정 암호 변경을 적용합니다. -
기본적으로 Samba는 ACL(액세스 제어 목록)을
security.NTACL확장 파일에 저장합니다./etc/samba/smb.conf파일의acl_xattr:<security_acl_name> 설정을 사용하여 특성 이름을 사용자 지정할 수 있습니다. 사용자 정의 확장 속성 이름은security.NTACL로 보호되는 위치가 아닙니다. 결과적으로 서버에 대한 로컬 액세스 권한이 있는 사용자는 사용자 지정 특성의 콘텐츠를 수정하고 ACL을 손상시킬 수 있습니다.
Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
IPA 버전 4.9.12로 업데이트
ipa 패키지가 버전 4.9.12로 업그레이드되었습니다. 자세한 내용은 업스트림 FreeIPA 릴리스 노트 를 참조하십시오.
이제 단일 Ansible 작업에서 여러 IdM 그룹 및 서비스를 관리할 수 있습니다.
ansible-freeipa 에서 이 향상된 기능을 사용하면 단일 Ansible 작업을 사용하여 여러 IdM(Identity Management) 사용자 그룹 및 서비스를 추가, 수정, 삭제할 수 있습니다. 이를 위해 ipagroup 및 ipaservice 모듈의 groups 및 services 옵션을 사용합니다.
ipagroup 에서 사용할 수 있는 groups 옵션을 사용하여 특정 그룹에만 적용되는 그룹 변수를 여러 개 지정할 수 있습니다. 이 그룹은 groups 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다.
마찬가지로 ipaservice 에서 사용할 수 있는 services 옵션을 사용하면 특정 서비스에만 적용되는 여러 서비스 변수를 지정할 수 있습니다. 이 서비스는 services 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다.
Jira:RHELDOCS-16474[1]
Ansible-freeipa ipaserver 역할에서 Random Serial Numbers 지원
이번 업데이트를 통해 ansible-freeipa ipaserver 역할과 함께 ipaserver_random_serial_numbers=true 옵션을 사용할 수 있습니다. 이렇게 하면 Ansible을 사용하여 IdM(Identity Management) 서버를 설치할 때 PKI에서 인증서 및 요청에 대한 완전한 임의의 일련 번호를 생성할 수 있습니다. RSNv3을 사용하면 대규모 IdM 설치에서 범위 관리를 방지하고 IdM을 다시 설치할 때 일반적인 충돌을 방지할 수 있습니다.
RSNv3은 새 IdM 설치에만 지원됩니다. 활성화하면 모든 PKI 서비스에서 RSNv3을 사용해야 합니다.
Jira:RHELDOCS-16462[1]
ipaserver_remove_on_server 및 ipaserver_ignore_topology_disconnect 옵션을 ipaserver 역할에서 사용할 수 있습니다.
ipaserver ansible-freeipa 역할의 remove_server_from_domain 옵션을 사용하여 IdM(Identity Management) 토폴로지에서 복제본을 제거하는 경우 보존할 도메인의 일부를 지정해야 합니다. 특히 다음을 수행해야 합니다.
-
ipaserver_remove_on_server값을 지정하여 보존할 토폴로지의 부분을 식별합니다. -
ipaserver_ignore_topology_disconnect를 True로 설정합니다.
remove_server_from_domain 옵션을 사용하여 IdM에서 복제본을 제거하는 경우 연결된 토폴로지를 유지하지 않아도 이러한 옵션 중 어느 것도 필요하지 않습니다.
ipaclient 역할로 IdM 수준에서 사용자 하위 ID 범위를 구성할 수 있음
이번 업데이트를 통해 ipaclient 역할은 IdM(Identity Management) 수준에서 subID 범위를 구성할 수 있는 ipaclient_subid 옵션을 제공합니다. 새 옵션을 명시적으로 true 로 설정하지 않으면 ipaclient 역할은 기본 동작을 유지하고 IdM 사용자에 대해 하위 ID 범위를 구성하지 않고 클라이언트를 설치합니다.
이전에는 역할이 /etc/nsswitch.conf 파일을 사용자 지정하는 sssd authselect 프로필을 구성했습니다. subID 데이터베이스는 IdM을 사용하지 않았으며 /etc/subuid 및 /etc/subgid 의 로컬 파일에만 의존했습니다.
ipacert Ansible 모듈을 사용하여 IdM 인증서를 관리할 수 있습니다.
ansible-freeipa ipacert 모듈을 사용하여 IdM(Identity Management) 사용자, 호스트 및 서비스에 대한 SSL 인증서를 요청하거나 검색할 수 있습니다. 그런 다음 사용자, 호스트 및 서비스는 이러한 인증서를 사용하여 IdM에 인증할 수 있습니다. 인증서를 취소하고 보류 중인 인증서를 복원할 수도 있습니다.
MIT Kerberos에서 확장 KDC MS-PAC 서명 지원
이번 업데이트를 통해 Red Hat에서 사용하는 MIT Kerberos는 최근 CVE에 대응하여 Microsoft에서 도입한 두 가지 유형의 PAC(Privilege Attribute Certificate) 서명 중 하나에 대한 지원을 구현합니다. 특히 RHEL 8의 MIT Kerberos는 KB5020805 로 릴리스된 확장 KDC 서명을 지원하며 CVE-2022-37967 을 해결합니다.
ABI 안정성 제약 조건으로 인해 RHEL8의 MIT Kerberos는 KB4598347 에 정의된 티켓 서명 유형인 다른 PAC 서명 유형을 지원할 수 없습니다.
이 개선과 관련된 문제를 해결하려면 다음 지식 베이스 리소스를 참조하십시오.
- RHEL-8.9 IdM 업데이트, 웹 UI 및 CLI 401 KDC S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC - 사용자 및 그룹 오브젝트에 SID가 필요함
- find_sid_for_ldap_entry - [file ipa_sidgen_cofind_for_ldap_entry - [file ipa_sidgen_common.c, line 521]: Cannot convert Posix ID [120000023l]
- RHEL9로 업그레이드할 때 IDM 사용자는 더 이상 로그인할 수 없습니다.
- IPA의 POSIX ID, SID 및 IDRange
RHEL 8.9는 389-ds-base 1.4.3.37을 제공합니다.
RHEL 8.9는 389-ds-base 패키지 버전 1.4.3.37과 함께 배포됩니다.
새로운 passwordAdminSkipInfoUpdate: on/off 설정 옵션을 사용할 수 있습니다.
cn=config 항목 아래에 새 passwordAdminSkipInfoUpdate: on/off 설정을 추가하여 암호 관리자가 수행하는 암호 업데이트를 세밀하게 제어할 수 있습니다. 이 설정을 활성화하면 암호 업데이트는 특정 속성(예: passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset, passwordExpWarned )을 업데이트하지 않습니다.
