4.13. IdM (Identity Management)
홈 디렉터리를 소문자로 변환하는 SSSD 지원
이번 개선된 기능을 통해 사용자 홈 디렉터리를 소문자로 변환하도록 SSSD를 구성할 수 있습니다. 이렇게 하면 RHEL 환경의 대/소문자를 구분하지 않는 특성과 보다 효과적으로 통합할 수 있습니다. /etc/sssd/sssd.conf 파일의 [nss] 섹션에 있는 override_homedir 옵션이 %h 템플릿 값을 인식합니다. override_homedir 정의의 일부로 %h 를 사용하는 경우 SSSD는 %h 를 소문자로 사용자의 홈 디렉터리로 대체합니다.
Jira:RHELPLAN-139430
SSSD에서 섀도우 암호 정책을 사용하여 LDAP 사용자 암호 변경 지원
이번 개선된 기능을 통해 /etc/sssd/sssd.conf 파일에서 ldap_pwd_policy 를 shadow 로 설정하면 LDAP 사용자가 LDAP에 저장된 암호를 변경할 수 있습니다. 이전 버전에서는 ldap_pwd_policy 가 해당 섀도우 LDAP 속성이 업데이트되었는지 명확하지 않기 때문에 암호 변경 사항이 거부되었습니다.
또한 LDAP 서버가 섀도우 속성을 자동으로 업데이트할 수 없는 경우, /etc/sssd/sssd.conf 파일에서 ldap_chpass_update_last_change 옵션을 True 로 설정하여 특성을 업데이트합니다.
Bugzilla:1507035
IdM에서 min_lifetime 매개변수 지원
이번 개선된 기능을 통해 min_lifetime 매개변수가 /etc/gssproxy/*.conf 파일에 추가되었습니다. min_lifetime 매개변수는 남은 수명이 이 값보다 낮은 경우 서비스 티켓의 갱신을 트리거합니다.
기본값은 15초입니다. NFS와 같은 네트워크 볼륨 클라이언트의 경우 access를 일시적으로 사용할 수 없는 경우 액세스 손실 위험을 줄이려면 이 값을 60초로 설정합니다.
ipapwpolicy ansible-freeipa 모듈에서 새로운 암호 정책 옵션 지원
이번 업데이트를 통해 ansible-freeipa 패키지에 포함된 ipapwpolicy 모듈은 추가 libpwquality 라이브러리 옵션을 지원합니다.
maxrepkind- 동일한 문자의 최대 문자 수를 순서대로 지정합니다.
maxsequence- 최대 단조 문자 시퀀스(abcd)의 최대 길이를 지정합니다.
dictcheck- 암호가 사전 단어인지 확인합니다.
usercheck- 암호에 사용자 이름이 포함되어 있는지 확인합니다.
새 암호 정책 옵션이 설정되어 있는 경우 최소 암호 길이는 6자입니다. 새 암호 정책 설정은 새 암호에만 적용됩니다.
RHEL 7 및 RHEL 8 서버와 혼합된 환경에서 새 암호 정책 설정은 RHEL 8.4 이상에서 실행되는 서버에만 적용됩니다. 사용자가 IdM 클라이언트에 로그인하고 IdM 클라이언트가 RHEL 8.3 이하에서 실행되는 IdM 서버와 통신하는 경우, 시스템 관리자가 설정한 새 암호 정책 요구 사항은 적용되지 않습니다. 일관된 동작을 보장하기 위해 모든 서버를 RHEL 8.4 이상으로 업그레이드하십시오.
Jira:RHELPLAN-137416
IdM에서 ipanetgroup Ansible 관리 모듈 지원
IdM(Identity Management) 시스템 관리자는 IdM을 NIS 도메인 및 넷그룹과 통합할 수 있습니다. ipanetgroup ansible-freeipa 모듈을 사용하면 다음을 수행할 수 있습니다.
- 기존 IdM netgroup에 특정 IdM 사용자, 그룹, 호스트 및 호스트 그룹 및 중첩된 IdM netgroup이 포함되어 있는지 확인할 수 있습니다.
- 특정 IdM 사용자, 그룹, 호스트 그룹 및 호스트 그룹 및 중첩된 IdM netgroup이 기존 IdM netgroup에 없는지 확인할 수 있습니다.
- IdM에 특정 netgroup이 있거나 없는지 확인할 수 있습니다.
Jira:RHELPLAN-137411
새로운 ipaclient_configure_dns_resolver 및 ipaclient_dns_servers Ansible ipaclient 역할 변수를 사용하여 클라이언트의 DNS 확인자를 지정합니다.
이전에는 ansible-freeipa ipaclient 역할을 사용하여 IdM(Identity Management) 클라이언트를 설치할 때 설치 프로세스 중에 DNS 확인자를 지정할 수 없었습니다. 설치하기 전에 DNS 확인 프로그램을 구성해야 했습니다.
이번 개선된 기능을 통해 ipaclient 역할을 사용하여 ipaclient_configure_dns_resolver 및 ipaclient_dns_servers 변수가 있는 IdM 클라이언트를 설치할 때 DNS 확인자를 지정할 수 있습니다. 결과적으로 ipaclient 역할은 resolv.conf 파일과 NetworkManager 및 systemd 확인 유틸리티를 수정하여 ansible- freeipaipaserver 역할이 IdM 서버에서 수행하는 것과 유사한 방식으로 클라이언트에 DNS 확인 프로그램을 구성합니다. 결과적으로 IdM 클라이언트를 설치하기 위해 ipaclient 역할을 사용할 때 DNS를 구성하는 것이 더 효율적입니다.
ipa-client-install 명령줄 설치 프로그램을 사용하여 IdM 클라이언트를 설치하려면 먼저 DNS 확인 프로그램을 구성해야 합니다.
Jira:RHELPLAN-137406
ipaclient 역할을 사용하여 OTP로 IdM 클라이언트를 설치할 때 Ansible 컨트롤러를 사전 수정할 필요가 없습니다.
이전에는 Ansible 컨트롤러의 kinit 명령이 IdM(Identity Management) 클라이언트 배포를 위한 OTP(한시 암호)를 가져오기 위한 사전 요구 사항이었습니다. 컨트롤러의 OTP를 취득해야 할 필요성은 Red Hat AAP(Ansible Automation Platform)의 문제였습니다. 이 패키지는 기본적으로 설치되지 않았습니다.
이번 업데이트를 통해 이제 관리자의 TGT 요청이 처음 지정되거나 검색된 IdM 서버에 위임됩니다. 결과적으로 OTP를 사용하여 Ansible 컨트롤러를 추가로 수정하지 않고 IdM 클라이언트 설치를 인증할 수 있습니다. 이렇게 하면 AAP와 ipaclient 역할을 간단하게 사용할 수 있습니다.
Jira:RHELPLAN-137403
IdM은 이제 Kerberos 티켓에 MS-PAC 구조를 적용합니다.
RHEL 9.2부터 보안을 높이기 위해 IdM(Identity Management) 및 MIT Kerberos는 이제 RHEL IdM Kerberos Distribution Center(KDC)에서 발행한 Kerberos 티켓에 MS-PAC(Privilege Attribute Certificate) 구조를 적용합니다.
2022년 11월 CVE-2022-37967에 대한 응답으로 Microsoft는 서버 체크섬이 아닌 전체 MS-PAC 구조를 통해 계산된 확장된 서명을 도입했습니다. RHEL 9.2부터 IdM KDC에서 발행한 Kerberos 티켓에도 확장된 서명이 포함되어 있습니다.
IdM에서 확장된 서명이 아직 적용되지 않습니다.
Jira:RHELPLAN-159146
FIPS 140-3 호환 키 암호화를 활성화한 VMDK용 새로운 영역 구성 템플릿
이 업데이트에서는 /var/kerberos/krb5kdc/kdc.conf 파일에 새로운 EXAMPLE.COM.COM 영역 구성 예를 제공합니다. 두 가지 변경 사항을 제공합니다.
-
FIPS 140-3 호환
AES HMAC SHA-2제품군이 키 암호화를 위해 지원되는 유형 목록에 추가됩니다. -
iPXE 마스터 키의 암호화 유형은
AES 256 HMAC SHA-1에서AES 256 HMAC SHA-384로 전환됩니다.
이 업데이트는 독립 실행형 MIT 영역에 관한 것입니다. RHEL Identity Management에서 KDC(Kerberos Distribution Center) 구성을 변경하지 마십시오.
새 영역에는 이 구성 템플릿을 사용하는 것이 좋습니다. 템플릿은 이미 배포된 영역에는 영향을 미치지 않습니다. 템플릿에 따라 영역 구성을 업그레이드하려는 경우 다음 사항을 고려하십시오.
마스터 키를 업그레이드하는 경우 CloudEvent 구성의 설정을 변경하는 것만으로는 충분하지 않습니다. MIT Kerberos 설명서에 설명된 프로세스를 따르십시오. https://web.mit.edu/kerberos/krb5-1.20/doc/admin/database.html#updating-the-master-key
키 암호화에 대해 지원되는 유형에 AES HMAC SHA-2 제품군을 추가하는 것은 CloudEvent의 기존 항목에 영향을 미치지 않기 때문에 어느 시점에서도 안전합니다. 키는 새 주체를 생성하거나 자격 증명을 갱신할 때만 생성됩니다. 이 새 유형의 키는 기존 키를 기반으로 생성할 수 없습니다. 특정 주체에 이러한 새로운 암호화 유형을 사용할 수 있도록 하려면 인증 정보를 갱신해야 합니다. 즉, 서비스 주체에 대한 키탭도 갱신해야 합니다.
보안 주체에 AES HMAC SHA-2 키가 포함되어 있지 않아야 하는 유일한 경우는 Active Directory (AD) cross-realm ticket-granting ticket (TGT)입니다. AD는 RFC8009를 구현하지 않기 때문에 AES HMAC SHA-2 암호화 유형 제품군을 사용하지 않습니다. 따라서 cross-realm TGS-REQ using an AES HMAC SHA-2-encrypted cross-realm TGT를 사용하는 경우 오류가 발생했습니다. MIT Kerberos 클라이언트가 AD에 대해 AES HMAC SHA-2 를 사용하지 못하도록 하는 가장 좋은 방법은 AD 교차 영역에 AES HMAC SHA-2 키를 제공하지 않는 것입니다. 이렇게 하려면 AD에서 지원하는 모든 키 암호화 유형의 명시적 목록을 사용하여 교차 영역 TGT 항목을 생성해야 합니다.
kadmin.local <<EOF add_principal +requires_preauth -e aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96 -pw [password] krbtgt/[MIT realm]@[AD realm] add_principal +requires_preauth -e aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96 -pw [password] krbtgt/[AD realm]@[MIT realm] EOF
MIT IKEvrboros 클라이언트가 AES HMAC SHA-2 암호화 유형을 사용하도록 하려면 클라이언트 및 CloudEvent 구성 모두에서 허용되는 암호화 유형도 설정해야 합니다. RHEL에서 이 설정은 crypto-policy 시스템에서 관리합니다. 예를 들어 RHEL 9에서는 DEFAULT 암호화 정책을 사용하는 호스트에서는 AES HMAC SHA-2 및 AES HMAC SHA-1 암호화 티켓을 허용하는 반면, FIPS 암호화 정책을 사용하는 호스트는 AES HMAC SHA-2 만 허용합니다.
구성 파일을 사용하여 gRPC_pwhistory 구성
이번 업데이트를 통해 /etc/security/ pwhistory 모듈을 구성할 수 있습니다. gRPC pwhistory.conf 구성 파일에 CloudEvent__pwhistory 모듈은 암호 변경 기록을 관리하기 위해 각 사용자에 대한 마지막 암호를 저장합니다. CHAP _pwhistory 모듈을 PAM 스택에 추가할 수 있는 authselect 에도 지원이 추가되었습니다.
Bugzilla:2126640, Bugzilla:2142805
IdM에서 새 Active Directory 인증서 매핑 템플릿 지원
AD(Active Directory) 도메인 관리자는 altSecurityIdentities 특성을 사용하여 AD의 사용자에게 인증서를 수동으로 매핑할 수 있습니다. 이 속성에 지원되는 6개의 값이 이제 3개의 매핑이 안전하지 않은 것으로 간주됩니다. 2022 보안 업데이트 5월 10 일의 일부로 이 업데이트가 도메인 컨트롤러에 설치되면 모든 장치가 호환성 모드가 됩니다. 인증서가 사용자에게 약한 경우 인증이 예상대로 수행되지만 전체 적용 모드와 호환되지 않는 인증서를 식별하는 경고 메시지가 기록됩니다. 2023년 11월 14일 이후부터 모든 장치가 완전히 적용 모드로 업데이트되고 인증서가 강력한 매핑 기준에 실패하면 인증이 거부됩니다.
IdM은 이제 새 매핑 템플릿을 지원하므로 AD 관리자가 새 규칙을 더 쉽게 사용할 수 있으며 둘 다 유지 관리하지 않습니다. IdM에서 다음과 같은 새 매핑 템플릿을 지원합니다.
-
일련 번호:
LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur}) -
제목 키 ID:
LDAPU1:(altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u}) -
사용자 SID:
LDAPU1:(objectsid={sid})
새 SID 확장으로 인증서를 다시 게시하지 않으려면 AD의 사용자 altSecurityIdentities 속성에 적절한 매핑 문자열을 추가하여 수동 매핑을 만들 수 있습니다.
Samba 버전 4.17.5로 업데이트
samba 패키지가 업스트림 버전 4.17.5로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항:
- 이전 릴리스의 보안을 개선하면 메타 데이터 워크로드가 많은 경우 SMB(Server Message Block) 서버의 성능에 영향을 미쳤습니다. 이번 업데이트에서는 이 시나리오에서 성능이 향상되었습니다.
-
JSON
옵션이JSON 형식으로 세부상태정보를 표시하도록 CloudEventstatus 유틸리티에 추가되었습니다. -
samba.ECDHE.conf및samba.ECDHE3.conf모듈이>-<conf PythonAPI에 추가되었습니다. Python 프로그램에서 이를 사용하여 기본적으로 Samba 구성을 읽고 작성할 수 있습니다.
서버 메시지 블록 버전 1(SMB1)은 Samba 4.11 이후 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. > - <d ,nmbd, winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/ECDHE/ECDHE.conf 파일을 확인합니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.
ipa-client-install 에서 PKINIT를 통한 인증 지원
이전에는 ipa-client-install 에서 암호 기반 인증만 지원했습니다. 이번 업데이트에서는 PKINIT에서의 인증을 위해 ipa-client-install 을 지원합니다.
예를 들면 다음과 같습니다.
ipa-client-install --pkinit-identity=FILE:/path/to/cert.pem,/path/to/key.pem --pkinit-anchor=FILE:/path/to/cacerts.pem
PKINIT 인증을 사용하려면 IdM과 PKINIT 인증서의 CA 체인 사이에 신뢰를 설정해야 합니다. 자세한 내용은 ipa-cacert-manage(1) 매뉴얼 페이지를 참조하십시오. 또한 인증서 ID 매핑 규칙은 호스트의 PKINIT 인증서를 호스트 레코드를 추가 또는 수정할 수 있는 권한이 있는 보안 주체에 매핑해야 합니다. 자세한 내용은 ipa certmaprule-add man 페이지를 참조하십시오.
Red Hat IdM 및 인증서 시스템에서 EST 프로토콜 지원
보안 전송(EST)에 등록하는 것은 RFC 7030에 지정된 새로운 인증서 시스템 하위 시스템 기능이며 CA(인증 기관)에서 인증서를 프로비저닝하는 데 사용됩니다. EST는 작업의 서버 측(예: /getcacerts,/simpleenroll, /simplereenroll )을 구현합니다.
Red Hat은 인증서 시스템에서 EST 및 원래SCEP(Simple Certificate Enrollment Protocol)를 모두 지원합니다.
부정 캐시 사용 개선
이번 업데이트에서는 SID(Security Identifier)를 통한 조회에 대한 SSSD 성능이 향상되었습니다. 이제 개별 도메인의 경우 음수 캐시에 존재하지 않는ovns를 저장하고 CloudEvent가 속한 도메인을 요청합니다.
디렉터리 서버는 TLS를 위한 ECDSA 개인 키 지원
이전에는 RSA보다 강력한 암호화 알고리즘을 사용하여 Directory Server 연결을 보호할 수 없었습니다. 이 향상된 기능을 통해 Directory Server는 이제 ECDSA 및 RSA 키를 모두 지원합니다.
Directory Server에서 검색 작업의 확장된 로깅 지원
이전에는 액세스 로그의 레코드에 일부 검색 작업에 매우 큰 etime 값이 있는 이유가 표시되지 않았습니다. 이번 릴리스에서는 여러 인덱스 조회(데이터베이스 읽기 작업) 및 각 검색 작업당 전체 인덱스 조회 기간과 같은 통계의 로깅을 활성화할 수 있습니다. 이러한 통계 레코드는 etime 값이 리소스 비용이 너무 많이 드는 이유를 분석하는 데 도움이 될 수 있습니다.
Bugzilla:1859271
NUNC_STANS 오류 로깅 수준은 새로운 1048576 로깅 수준으로 대체되었습니다.
이전에는 암호 정책 문제를 쉽게 디버깅할 수 없었습니다. 오류 로그에 대한 새로운 1048576 로깅 수준을 사용하면 다음과 같은 암호 정책 정보를 확인할 수 있습니다.
- 다음 중 암호 업데이트를 거부하거나 허용하는 로컬 정책은 무엇입니까.
- 정확한 구문 위반입니다.
Directory Server에서 보안 로그 도입
시간이 지남에 따라 문제를 올바르게 추적하기 위해 Directory Server에는 보안 데이터를 유지 관리하는 특수 로그가 있습니다. 보안 로그는 빠르게 순환되지 않고 모든 정보가 포함된 액세스 로그와 비교하여 디스크 리소스를 적게 소비하지만 보안 데이터를 얻으려면 비용이 많이 드는 구문 분석이 필요합니다.
새 서버 로그는 인증 이벤트, 권한 부여 문제, DoS/TCP 공격 및 기타 이벤트와 같은 보안 이벤트를 기록합니다.
Directory Server는 다른 로그 파일과 함께 /var/log/dirsrv/slapd-instance_name/ 디렉터리에 보안 로그를 저장합니다.
Directory Server에서 아카이브된 로그 파일을 압축할 수 있음
이전에는 보관된 로그 파일이 압축되지 않았습니다. 이번 릴리스에서는 액세스, 오류, 감사 실패 로그, 보안 로그 파일 압축을 활성화하여 디스크 공간을 절약할 수 있습니다. 보안 로그 파일 압축만 기본적으로 활성화되어 있습니다.
cn=config 항목에서 다음 새 구성 속성을 사용하여 압축을 관리합니다.
-
액세스 로그의
nsslapd-accesslog-compress -
오류 로그의
nsslapd-errorlog-compress -
감사 로그의 경우
nsslapd-auditlog-compress -
감사 실패 로그의
nsslapd-auditfaillog-compress -
보안 로그의 경우
nsslapd-securelog-compress
Bugzilla:1132524
새로운 gRPC ModuleIsThread>-& lt; 구성 옵션을 사용할 수 있습니다.
PAM 모듈이 스레드로부터 안전한 경우, 새 CHAP ModuleIsThread >-< 구성 옵션을 yes 로 설정하여 특정 모듈의 PAM 인증 처리량 및 응답 시간을 개선할 수 있습니다.
pamModuleIsThreadSafe: yes
이 구성은 PAM 모듈 구성 항목( Auth,cn=plugins,cn=config )에 따라 cn=PAM 패스 패스에 적용됩니다.
dse.ldif 구성 파일 또는 ldapmodify 명령에서 CloudEvent ModuleIsThread >-< 옵션을 사용합니다. ldapmodify 명령을 사용하려면 서버를 다시 시작해야 합니다.
Directory Server에서 인증서 번들을 가져올 수 있음
이전 버전에서는 dsconf 또는 dsctl 유틸리티를 사용하여 인증서 번들을 추가하려고 하면 프로시저가 오류와 함께 실패했으며 인증서 번들을 가져오지 않았습니다. 이러한 동작은 한 번에 하나의 인증서만 가져올 수 있는 certutil 유틸리티로 인해 발생했습니다. 이번 업데이트를 통해 Directory Server는 certutil 문제를 중심으로 작동하며 인증서 번들이 성공적으로 추가됩니다.
기본 동작 변경: Directory Server에서 데이터베이스에 추가된 것과 정확히 동일한 순서로 DN을 반환합니다.
새로운 nsslapd- return-original-entrydn 매개 변수를 cn=config 항목 아래에 사용하면 Directory Server에서 검색 작업 중에 항목의 고유 이름(DN)을 반환하는 방법을 관리할 수 있습니다.
기본적으로 nsslapd- return-original-entrydn 매개변수는 on 으로 설정되고 Directory Server는 원래 데이터베이스에 추가된 DN을 반환합니다. 예를 들어 uid=User,ou=PEople,dc=ExaMPlE,DC=COM 및 설정을 사용하여 Directory Server는 uid=User,ou=PEople,dc=ExaMPlE,DC=COM.
nsslapd- return-original-entrydn 매개변수가 off 로 설정된 경우 Directory Server는 항목의 RDN(Relative DN)과 cn=userroot,cn=plugins,cn=plugins,cn=config 아래의 데이터베이스 접미사 구성에 저장된 기본 DN을 결합하여 항목 DN을 생성합니다. 기본 DN을 ou=people,dc=example,dc=com 으로 설정하고 nsslapd- return-original-entry d 설정을 off 로 설정하면 Directory Server에서 uid=User,ou=people,dc=example,dc=com 을 데이터베이스에 추가할 때 DN의 철자가 표시되지 않습니다.
MIT Kerberos는 티켓 및 확장 KDC MS-PAC 서명을 지원
이번 업데이트를 통해 Red Hat에서 사용하는 MIT Kerberos는 최근 CVE에 대한 응답으로 Microsoft에서 도입한 두 가지 유형의 PAC(Privilege Attribute Certificate) 서명을 지원합니다. 특히 다음 서명이 지원됩니다.
티켓 서명
- KB4598347로 릴리스됨
- CVE-2020-17049 라고도 하는 "Bronze-#159" 공격
확장된 KDC 서명
- KB5020805로 릴리스됨
- CVE-2022-37967문제 해결
RHSA-2023:2570 및 krb5-1.20.1-6.el9 도 참조하십시오.
Directory Server 감사 로그의 새로운 nsslapd-auditlog-display-attrs 구성 매개변수
이전에는 고유 이름(DN)이 감사 로그 이벤트에서 대상 항목을 식별하는 유일한 방법이었습니다. 새로운 nsslapd-auditlog-display-attrs 매개변수를 사용하면 Directory Server를 구성하여 감사 로그에 추가 속성을 표시하여 수정된 항목에 대한 자세한 정보를 제공할 수 있습니다.
예를 들어 nsslapd-auditlog-display-attrs 매개변수를 cn 으로 설정하면 감사 로그에 출력에 cn 속성이 표시됩니다. 수정된 항목의 모든 속성을 포함하려면 별표(*)를 매개변수 값으로 사용합니다.
자세한 내용은 nsslapd-auditlog-display-attrs 를 참조하십시오.
