17.10. SSSD
17.10.1. 이제 AD rshs가 기본적으로 적용됩니다.
RHEL 8에서는 ad_gpo_access_control
옵션에 대한 기본 설정이 강제
적용되어 Active Directory Group Policy Objects(GPO)를 기반으로 하는 액세스 제어 규칙이 평가되고 적용됩니다.
반대로 RHEL 7에서 이 옵션의 기본값은 허용
이며, 이 권한은 JWT 기반 액세스 제어 규칙을 평가하지만 적용하지는 않습니다. 허용
모드를 사용하면 grant 사용자가 access를 거부할 때마다 syslog 메시지가 기록되지만 해당 사용자는 계속 로그인할 수 있습니다.
Red Hat은 RHEL 7에서 RHEL 8로 업그레이드하기 전에 active Directory에IMG를 올바르게 구성하는 것이 좋습니다.
기본 RHEL 7 호스트에서 권한 부여에 영향을 미치지 않는 misconfigured rshs는 기본 RHEL 8 호스트에 영향을 줄 수 있습니다.
GPO에 대한 자세한 내용은 RHEL의 그룹 정책 오브젝트 액세스 제어 적용 및 sssd-ad
설명서 페이지의 ad_gpo_access_control
항목을 참조하십시오.
17.10.2. authconfig
를
대체하는 Authselect
authconfig
를
RHEL 8에서 authselect
유틸리티 대신 authconfig
유틸리티를 대체합니다. authselect
는 시스템 관리자에게 PAM 구성 변경을 더 간단하게 만들 수 있는 PAM 스택 관리에 대한 보다 안전한 접근 방식을 제공합니다. authselect
는 암호, 인증서, 스마트 카드 및 지문과 같은 인증 방법을 구성하는 데 사용할 수 있습니다. authselect
는 원격 도메인에 가입하는 데 필요한 서비스를 구성하지 않습니다. 이 작업은 realmd
또는 ipa-client-install
과 같은 특수 툴에 의해 수행됩니다.
17.10.3. KCM은 KEYRING을 기본 인증 정보 캐시 스토리지로 대체
RHEL 8에서 기본 인증 정보 캐시 스토리지는 sssd-kcm
데몬에서 지원하는 KCM(Kerberos Credential Manager)입니다. KCM에는 이전에 사용된 KEYRING의 제한 사항(예:네임 스페이스가 없기 때문에 컨테이너 환경에서 사용하기가 어렵고 할당량을 표시 및 관리할 수 없음)이 해결되어 있습니다.
이번 업데이트를 통해 RHEL 8에는 컨테이너화된 환경에 더 적합하고 향후 릴리스에서 보다 많은 기능을 빌드할 수 있는 기반을 제공하는 인증 정보 캐시가 제공됩니다.
17.10.4. sssctl
을 통해 IdM 도메인의 HBAC 규칙 보고서 출력
이번 업데이트에서 SSSD(System Security Services Daemon)의 sssctl
유틸리티를 통해 IdM(Identity Management) 도메인의 액세스 제어 보고서를 출력할 수 있습니다. 이는 특정 환경에서 규제상의 이유로 특정 클라이언트 컴퓨터에 액세스할 수 있는 사용자 및 그룹 목록을 표시하는 기능으로 사용될 수 있습니다. IdM 클라이언트에서 sssctl access-report
domain_name
을 실행하면 클라이언트 시스템에 적용되는 IdM 도메인의 호스트 기반 액세스 제어(HBAC) 규칙의 구문 분석된 하위 세트를 표시합니다.
IdM 이외의 모든 공급자는 이 기능을 지원하지 않습니다.
17.10.5. RHEL 8.8부터 SSSD는 더 이상 로컬 사용자를 캐시하지 않으며 nss_sss
모듈을 통해 로컬 사용자를 캐시하지 않습니다.
RHEL 8.8 이상에서는 /etc/passwd
및 /etc/group
파일에서
사용자 및 그룹에 서비스를 제공하는 SSSD(System Security Services Daemon) 파일 공급자가 기본적으로 비활성화되어 있습니다. /etc/sssd/sssd.conf
구성 파일의 enable_files_domain
설정 기본값은 false
입니다.
RHEL 8.7 및 이전 버전의 경우 SSSD 파일
공급자가 기본적으로 활성화되어 있습니다. sssd.conf
구성 파일의 enable_
설정 기본값은 files
_domaintrue
이고 sss
nsswitch 모듈은 /etc/nsswitch.conf
파일의 파일 앞에 있습니다.
17.10.6. SSSD를 사용하면 여러 스마트 카드 인증 장치 중 하나를 선택할 수 있습니다.
기본적으로 SSSD(System Security Services Daemon)는 스마트 카드 인증에 대한 장치를 자동으로 감지합니다. 여러 장치가 연결되어 있으면 SSSD에서 먼저 탐지하는 장치를 선택합니다. 결과적으로 특정 장치를 선택할 수 없으므로 실패가 발생하는 경우도 있습니다.
이번 업데이트를 통해 sssd.conf
구성 파일의 [pam]
섹션에 새 p11_uri
옵션을 구성할 수 있습니다. 이 옵션을 사용하면 스마트 카드 인증에 사용되는 장치를 정의할 수 있습니다.
예를 들어 OpenSC PKCS#11 모듈에서 감지한 슬롯 ID 2
가 있는 리더를 선택하려면 다음을 추가합니다.
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
sssd.conf
의 [pam]
섹션에 추가합니다.
자세한 내용은 man sssd.conf
페이지를 참조하십시오.