4.15. IdM (Identity Management)
Directory Server에서 더 이상 글로벌 변경 로그를 사용하지 않음
이번 개선된 기능을 통해 Directory Server 변경 로그가 기본 데이터베이스에 통합되었습니다. 이전에는 Directory Server가 글로벌 변경 로그를 사용했습니다. 그러나 디렉터리가 여러 데이터베이스를 사용하는 경우 문제가 발생할 수 있습니다. 결과적으로 각 접미사는 이제 일반 데이터베이스 파일과 동일한 디렉터리에 자체 변경 로그를 가졌습니다.
(BZ#1805717)
모든 종속 항목이 있는 AppStream 리포지토리에서 Ansible -freeipa 를 사용할 수 있습니다.
이전에는 ansible-freeipa 패키지를 설치하기 전에 Ansible 리포지토리를 활성화하고 ansible 패키지를 설치해야 했습니다. RHEL 8.6 및 RHEL 9에서는 예비 단계 없이 ansible-freeipa 를 설치할 수 있습니다. 를 설치하면 보다 기본적인 Ansible 버전인 ansible -freeipaansible-core 패키지가 종속성으로 자동으로 설치됩니다. ansible-freeipa 및 ansible-core 는 모두 rhel-9-for-x86_64-appstream-rpms 리포지토리에서 사용할 수 있습니다.
RHEL 8.6 및 RHEL 9의 Ansible -freeipa 에는 RHEL 8에 포함된 모든 모듈이 포함되어 있습니다.
(JIRA:RHELPLAN-100359)
IdM에서 자동 마운트 위치 지원,자동 마운트 맵, 자동 마운트 키 Ansible 모듈 지원
이번 업데이트를 통해 ansible-freeipa 패키지에는 ipaautomountlocation,ipaautomountmap, ipaautomountkey 모듈이 포함되어 있습니다. IdM 위치에 있는 IdM 클라이언트에 로그인한 IdM 사용자를 위해 자동으로 마운트되도록 디렉터리를 구성하는 데 이러한 모듈을 사용할 수 있습니다. 현재는 직접 맵만 지원됩니다.
(JIRA:RHELPLAN-79161)
하위 ID 범위를 관리하는 지원은 shadow-utils에서 사용할 수 있습니다.
이전에는 shadow-utils 에서 /etc/subuid 및 /etc/subgid 파일에서 자동으로 subID 범위를 구성했습니다. 이번 업데이트를 통해 subid 필드에 값을 설정하여 /etc/nsswitch.conf 파일에서 subID 범위의 구성을 사용할 수 있습니다. 자세한 내용은 man subuid 및 man subgid 를 참조하십시오. 또한 이번 업데이트를 통해 IPA 서버의 하위 ID 범위를 제공하는 shadow-utils 플러그인의 SSSD 구현을 사용할 수 있습니다. 이 기능을 사용하려면 subid: sss 값을 /etc/nsswitch.conf 파일에 추가합니다. 이 솔루션은 rootless 컨테이너를 용이하게 하기 위해 컨테이너화된 환경에서 유용할 수 있습니다.
/etc/nsswitch.conf 파일이 authselect 툴에 의해 구성된 경우 authselect 설명서에 설명된 절차를 따라야 합니다. 그렇지 않은 경우 /etc/nsswitch.conf 파일을 수동으로 수정할 수 있습니다.
하위 ID 범위 관리 지원은 IdM에서 사용할 수 있습니다.
이번 업데이트를 통해 ID 관리에서 사용자의 ID 하위 범위를 관리할 수 있습니다. ipa CLI 툴 또는 IdM WebUI 인터페이스를 사용하여 자동으로 구성된 하위 ID 범위를 사용자에게 할당할 수 있습니다. 이 범위는 컨테이너화된 환경에서 유용할 수 있습니다.
ID 관리 설치 패키지가 데모되었습니다.
이전에는 RHEL 8에서 IdM 패키지가 모듈로 배포되었으므로 스트림을 활성화하고 원하는 설치에 해당하는 프로필을 설치해야 합니다. IdM 설치 패키지는 RHEL 9에서 시연되었으므로 다음 dnf 명령을 사용하여 IdM 서버 패키지를 설치할 수 있습니다.
통합된 DNS 서비스가 없는 서버의 경우:
# dnf install ipa-server
통합된 DNS 서비스가 있는 서버의 경우:
# dnf install ipa-server ipa-server-dns
기존 RHEL ansible-freeipa 리포지터리의 대안: Ansible Automation Hub
이번 업데이트를 통해 표준 RHEL 리포지토리에서 다운로드하지 않고 AAH(Ansible Automation Hub)에서 ansible-freeipa 모듈을 다운로드할 수 있습니다. AAH를 사용하면 이 리포지토리에서 사용할 수 있는 ansible-freeipa 모듈의 빠른 업데이트의 이점을 누릴 수 있습니다.
AAH에서 ansible-freeipa 역할 및 모듈은 컬렉션 형식으로 배포됩니다. AAH 포털의 콘텐츠에 액세스하려면 Ansible Automation Platform (AAP) 서브스크립션이 필요합니다. ansible 버전 2.9 이상도 필요합니다.
redhat.rhel_idm 컬렉션에는 기존 ansible-freeipa 패키지와 동일한 콘텐츠가 있습니다. 그러나 컬렉션 형식은 네임스페이스와 컬렉션 이름으로 구성된 정규화된 FQCN(정규화된 컬렉션 이름)을 사용합니다. 예를 들어 redhat.rhel_idm.ipadnsconfig 모듈은 RHEL 리포지토리에서 제공하는 ansible-freeipa 의 ipadnsconfig 모듈에 해당합니다. 네임스페이스와 컬렉션 이름을 조합하면 개체가 고유하며 충돌 없이 공유할 수 있습니다.
(JIRA:RHELPLAN-103147)
이제 Ansible-freeipa 모듈이 IdM 클라이언트에서 원격으로 실행될 수 있습니다.
이전에는 ansible-freeipa 모듈을 IdM 서버에서만 실행할 수 있었습니다. 이를 위해서는 Ansible 관리자가 IdM 서버에 대한 SSH 액세스 권한을 보유하여 잠재적인 보안 위협을 초래해야 했습니다. 이번 업데이트를 통해 IdM 클라이언트인 시스템에서 ansible-freeipa 모듈을 원격으로 실행할 수 있습니다. 따라서 IdM 구성 및 엔터티를 보다 안전한 방식으로 관리할 수 있습니다.
IdM 클라이언트에서 ansible-freeipa 모듈을 실행하려면 다음 옵션 중 하나를 선택합니다.
-
플레이북의
hosts변수를 IdM 클라이언트 호스트로 설정합니다. -
ansible-free행을 추가합니다.ipa모듈을 사용하는 플레이북 작업에 ipa_context: 클라이언트
ipa_context 변수를 IdM 서버의 클라이언트로 설정할 수도 있습니다. 그러나 서버 컨텍스트는 일반적으로 더 나은 성능을 제공합니다. ipa_context 가 설정되지 않은 경우 ansible-freeipa 는 서버 또는 클라이언트에서 실행 중인지 확인하고 그에 따라 컨텍스트를 설정합니다. IdM 클라이언트 호스트에서 컨텍스트 가 server 로 설정된 ansible-freeipa 모듈을 실행하면 라이브러리가 누락된 오류가 발생합니다.
(JIRA:RHELPLAN-103146)
ipadnsconfig 모듈에는 global forwarder를 제외하려면 action: member 가 필요합니다.
이번 업데이트를 통해 ansible-freeipa ipadnsconfig 모듈을 사용하여 IdM(Identity Management)에서 전역 전달자를 제외하려면 state: absent 옵션 외에 action: member 옵션을 사용해야 합니다. action: member 를 사용하지 않고 플레이북에서 state: absent 만 사용하는 경우 플레이북이 실패합니다. 결과적으로 모든 글로벌 전달자를 제거하려면 플레이북에서 모두 개별적으로 지정해야 합니다. 반대로 state: present 옵션에는 action: member 가 필요하지 않습니다.
AD 사용자의 자동 개인 그룹은 중앙 집중식 구성을 지원합니다.
이제 IdM 클라이언트에서 인증된 SSSD 버전을 신뢰할 수 있는 Active Directory 도메인에서 사용자의 개인 그룹을 관리하는 방법을 중앙에서 정의할 수 있습니다. 이번 개선된 기능을 통해 AD 사용자를 처리하는 ID 범위에 대해 SSSD의 auto_private_groups 옵션 값을 명시적으로 설정할 수 있습니다.
auto_private_groups 옵션이 명시적으로 설정되지 않은 경우 기본값을 사용합니다.
-
ipa-ad-trust-posixID 범위의 경우 기본값은false입니다. SSSD는 항상 AD 항목의uidNumber및gidNumber를 사용합니다.gidNumber가 있는 그룹은 AD에 있어야 합니다. -
ipa-ad-trustID 범위의 기본값은true입니다. SSSD에서uidNumber를 항목 InstallPlan에서 매핑하고gidNumber는 항상 동일한 값으로 설정되고 개인 그룹은 항상 매핑됩니다.
auto_private_groups 을 세 번째 설정인 hybrid 에도 설정할 수 있습니다. 이 설정을 사용하면 사용자 항목에 UID와 동일한 GID가 있지만 이 GID가 있는 그룹이 없는 경우 SSSD는 개인 그룹을 매핑합니다. UID와 GID가 다르면 이 GID 번호가 있는 그룹이 있어야 합니다.
이 기능은 사용자 개인 그룹에 대해 별도의 그룹 오브젝트를 유지 관리하는 것을 중지하고 기존 사용자 개인 그룹도 유지하려는 관리자에게 유용합니다.
(BZ#1957736)
BIND에 대한 사용자 정의 로깅 설정
이번 개선된 기능을 통해 /etc/named/ipa-logging-ext.conf 구성 파일에서 ID 관리 서버의 BIND DNS 서버 구성 요소에 대한 로깅 설정을 구성할 수 있습니다.
IdM 키 탭을 검색할 때 IdM 서버 자동 검색
이번 개선된 기능을 통해 ipa-getkeytab 명령을 사용하여 Kerberos 키 탭을 검색할 때 IdM 서버 호스트 이름을 더 이상 지정할 필요가 없습니다. 서버 호스트 이름을 지정하지 않으면 DNS 검색이 IdM 서버를 찾는 데 사용됩니다. 서버를 찾을 수 없는 경우 이 명령은 /etc/ipa/default.conf 구성 파일에 지정된 호스트 값으로 대체합니다.
RHEL 9에서 Samba 4.15.5 제공
RHEL 9는 버전 4.14에 대한 버그 수정 및 개선 사항을 제공하는 Samba 4.15.5와 함께 배포됩니다.
- 일관된 사용자 환경을 위해 Samba 유틸리티의 옵션의 이름이 변경 및 제거되었습니다.
- 서버 다중 채널 지원이 기본적으로 활성화되어 있습니다.
-
Windows 기술 프리뷰에서만 사용되었던
SMB2_22,SMB2_24,SMB3_10방언이 제거되었습니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. redhatd ,nmbd, 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/hiera/hiera.conf 파일을 확인합니다.
주요 변경 사항에 대한 자세한 내용은 업데이트 전에 업스트림 릴리스 노트를 참조하십시오.
로그 분석기 툴을 사용하여 클라이언트 요청 추적
SSSD(System Security Services Daemon)에는 여러 SSSD 구성 요소의 로그 파일에서 처음부터 끝까지 요청을 추적하는 로그 구문 분석 도구가 포함되어 있습니다.
로그 분석기 툴을 사용하면 SSSD 디버그 로그를 보다 쉽게 검토할 수 있으므로 SSSD의 문제를 보다 쉽게 해결할 수 있습니다. 예를 들어 SSSD 프로세스의 특정 클라이언트 요청에만 관련된 SSSD 로그를 추출하고 출력할 수 있습니다. Analyzer 툴을 실행하려면 sssctl analyze 명령을 사용합니다.
(JIRA:RHELPLAN-97899)
SSSD는 기본적으로 역추적을 기록합니다.
이 향상된 기능을 통해 SSSD는 메모리 내 버퍼에 자세한 디버그 로그를 저장하고 오류가 발생할 때 로그 파일에 추가합니다. 기본적으로 다음 오류 수준에서는 역추적이 트리거됩니다.
- 수준 0: 치명적인 오류
- 레벨 1 : 중요한 실패
- 레벨 2 : 심각한 실패
sssd.conf 설정 파일의 해당 섹션에 debug_level 옵션을 설정하여 각 SSSD 프로세스에 대해 이 동작을 수정할 수 있습니다.
- 디버깅 수준을 0으로 설정하면 수준 0 이벤트만 역추적을 트리거합니다.
- 디버깅 수준을 1로 설정하고 수준 0 및 1로 설정하면 역추적이 트리거됩니다.
- 디버깅 수준을 2 이상으로 설정하면 수준 0에서 2까지의 이벤트가 역추적을 트리거합니다.
sssd.conf 의 해당 섹션에서 debug_backtrace_enabled 옵션을 false 로 설정하여 SSSD 프로세스별로 이 기능을 비활성화할 수 있습니다.
[sssd] debug_backtrace_enabled = true debug_level=0 ... [nss] debug_backtrace_enabled = false ... [domain/idm.example.com] debug_backtrace_enabled = true debug_level=2 ... ...
SSSD 기본 SSH 해싱 값이 OpenSSH 설정과 일치합니다.
ssh_hash_known_hosts 의 기본값이 false로 변경되었습니다. 이제 기본적으로 해시 호스트 이름이 아닌 OpenSSH 설정과 일치합니다.
그러나 호스트 이름을 계속 해시해야 하는 경우 /etc/sssd/sssd.conf 구성 파일의 [ssh] 섹션에 ssh_hash_known_hosts = True 를 추가합니다.
Directory Server 12.0은 업스트림 버전 2.0.14를 기반으로 합니다.
Directory Server 12.0은 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 2.0.14를 기반으로 합니다. 주요 변경 사항 전체 목록은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-14.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-13.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-12.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-11.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-10.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-9.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-8.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-7.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-6.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-5.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-4.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-3.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-2.html
- https://directory.fedoraproject.org/docs/389ds/releases/release-2-0-1.html
Directory Server는 이제 tmpfs 파일 시스템에 데이터베이스의 메모리 매핑된 파일을 저장합니다.
Directory Server에서 nsslapd-db-home-directory 매개 변수는 데이터베이스의 메모리 매핑된 파일의 위치를 정의합니다. 이번 개선된 기능을 통해 매개변수의 기본값을 /var/lib/dirsrv/slapd-instance_name/db/ 에서 /dev/shm/ 로 변경합니다. 결과적으로 tmpfs 파일 시스템에 저장된 내부 데이터베이스를 사용하면 Directory Server 성능이 향상됩니다.
Freeradius 지원이 재설계되었습니다.
RHEL 9에서는 기존 FreeRADIUS 오퍼링이 간소화되어 IdM(Identity Management)의 전략적 방향과 보다 밀접하게 정렬되었습니다. IdM 고객을 위한 최상의 지원을 제공하기 위해 Red Hat은 FreeRADIUS를 사용하여 이러한 외부 인증 모듈에 대한 지원을 강화하고 있습니다.
-
krb5및 LDAP 기반 인증 -
Python 3인증
다음 모듈은 더 이상 지원되지 않습니다.
- MySQL, PostgreSQL, SQlite 및 unixODBC 데이터베이스 커넥터
-
Perl언어 모듈 - REST API 모듈
기본 패키지의 일부로 제공되는 PAM 인증 및 기타 인증 모듈은 영향을 받지 않습니다.
제거된 모듈 교체는 커뮤니티 지원 패키지(예: Fedora 프로젝트에서)에서 찾을 수 있습니다.
또한 freeradius 패키지에 대한 지원 범위는 다음 사용 사례로 제한됩니다.
-
FreeRADIUS를 인증 공급자로 사용하고 IdM을 백엔드 소스 인증 소스로 사용합니다. 인증은
krb5및 LDAP 인증 패키지를 통해 수행되거나 기본 FreeRADIUS 패키지에서 PAM 인증으로 수행됩니다. -
FreeRADIUS를 사용하여
Python 3인증 패키지를 통해 IdM의 인증에 대한 소스 제공
(JIRA:RHELDOCS-17553)
