4.14. IdM (Identity Management)
Samba 버전 4.18.6으로 업데이트
samba 패키지가 업스트림 버전 4.18.6으로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항:
- 이전 릴리스의 보안 개선으로 인해 메타데이터가 높은 워크로드를 위해 SMB(Server Message Block) 서버의 성능에 영향을 미쳤습니다. 이번 업데이트에서는 이 시나리오의 성능이 향상됩니다.
-
새로운
wbinfo --change-secret-at=<domain_controller> 명령은 지정된 도메인 컨트롤러에서 신뢰 계정 암호 변경을 적용합니다. -
기본적으로 Samba는 ACL(액세스 제어 목록)을
security.NTACL확장 파일에 저장합니다./etc/samba/smb.conf파일의acl_xattr:<security_acl_name> 설정을 사용하여 특성 이름을 사용자 지정할 수 있습니다. 사용자 정의 확장 속성 이름은security.NTACL로 보호되는 위치가 아닙니다. 결과적으로 서버에 대한 로컬 액세스 권한이 있는 사용자는 사용자 지정 특성의 콘텐츠를 수정하고 ACL을 손상시킬 수 있습니다.
Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
ipaclient 역할로 IdM 수준에서 사용자 하위 ID 범위를 구성할 수 있음
이번 업데이트를 통해 ipaclient ansible-freeipa 역할은 IdM(Identity Management) 수준에서 subID 범위를 구성할 수 있는 ipaclient_subid 옵션을 제공합니다. 새 옵션을 명시적으로 true 로 설정하지 않으면 ipaclient 역할은 기본 동작을 유지하고 IdM 사용자에 대해 하위 ID 범위를 구성하지 않고 클라이언트를 설치합니다.
이전에는 역할이 /etc/nsswitch.conf 파일을 사용자 지정하는 sssd authselect 프로필을 구성했습니다. subID 데이터베이스는 IdM을 사용하지 않았으며 /etc/subuid 및 /etc/subgid 의 로컬 파일에만 의존했습니다.
이제 단일 Ansible 작업에서 여러 IdM 그룹 및 서비스를 관리할 수 있습니다.
ansible-freeipa 에서 이 향상된 기능을 사용하면 단일 Ansible 작업을 사용하여 여러 IdM(Identity Management) 사용자 그룹 및 서비스를 추가, 수정, 삭제할 수 있습니다. 이를 위해 ipagroup 및 ipaservice 모듈의 groups 및 services 옵션을 사용합니다.
ipagroup 에서 사용할 수 있는 groups 옵션을 사용하여 특정 그룹에만 적용되는 그룹 변수를 여러 개 지정할 수 있습니다. 이 그룹은 groups 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다.
마찬가지로 ipaservice 에서 사용할 수 있는 services 옵션을 사용하면 특정 서비스에만 적용되는 여러 서비스 변수를 지정할 수 있습니다. 이 서비스는 services 옵션에 대한 유일한 필수 변수인 name 변수로 정의됩니다.
Jira:RHELDOCS-16474[1]
Ansible-freeipa ipaserver 역할에서 Random Serial Numbers 지원
이번 업데이트를 통해 ansible-freeipa ipaserver 역할과 함께 ipaserver_random_serial_numbers=true 옵션을 사용할 수 있습니다. 이렇게 하면 Ansible을 사용하여 IdM(Identity Management) 서버를 설치할 때 PKI에서 인증서 및 요청에 대한 완전한 임의의 일련 번호를 생성할 수 있습니다. RSNv3을 사용하면 대규모 IdM 설치에서 범위 관리를 방지하고 IdM을 다시 설치할 때 일반적인 충돌을 방지할 수 있습니다.
RSNv3은 새 IdM 설치에만 지원됩니다. 활성화하면 모든 PKI 서비스에서 RSNv3을 사용해야 합니다.
Jira:RHELDOCS-16462[1]
IPA 버전 4.10.2로 재기반
ipa 패키지가 버전 4.10.2로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
- IdM CLI 및 웹 UI에서 인증서를 검색하고 나열하면 성능이 향상됩니다.
자세한 내용은 업스트림 FreeIPA 릴리스 노트 를 참조하십시오.
ipaserver_remove_on_server 및 ipaserver_ignore_topology_disconnect 옵션을 ipaserver 역할에서 사용할 수 있습니다.
ipaserver ansible-freeipa 역할의 remove_server_from_domain 옵션을 사용하여 IdM(Identity Management) 토폴로지에서 복제본을 제거하는 경우 보존할 도메인의 일부를 지정해야 합니다. 특히 다음을 수행해야 합니다.
-
ipaserver_remove_on_server값을 지정하여 보존할 토폴로지의 부분을 식별합니다. -
ipaserver_ignore_topology_disconnect를 True로 설정합니다.
remove_server_from_domain 옵션을 사용하여 IdM에서 복제본을 제거하는 경우 연결된 토폴로지를 유지하지 않아도 이러한 옵션 중 어느 것도 필요하지 않습니다.
IdM에서 min_lifetime 매개변수 지원
이번 개선된 기능을 통해 min_lifetime 매개변수가 /etc/gssproxy/*.conf 파일에 추가되었습니다. min_lifetime 매개변수는 남은 수명이 이 값보다 낮은 경우 서비스 티켓 갱신을 트리거합니다.
기본값은 15초입니다. NFS와 같은 네트워크 볼륨 클라이언트의 경우 KDC를 일시적으로 사용할 수 없는 경우 액세스 손실 위험을 줄이려면 이 값을 60초로 설정합니다.
ipacert Ansible 모듈을 사용하여 IdM 인증서를 관리할 수 있습니다.
ansible-freeipa ipacert 모듈을 사용하여 IdM(Identity Management) 사용자, 호스트 및 서비스에 대한 SSL 인증서를 요청하거나 검색할 수 있습니다. 그런 다음 사용자, 호스트 및 서비스는 이러한 인증서를 사용하여 IdM에 인증할 수 있습니다. 인증서를 취소하고 보류 중인 인증서를 복원할 수도 있습니다.
optional_pac_tkt_chksum 옵션은 다양한 krb5버전 간의 상호 운용성을 유지하는 데 도움이 됩니다.
이제 optional_pac_tkt_chksum 옵션을 사용하여 다른 버전의 krb5 패키지를 실행하는 RHEL Kerberos Distribution Center(KDC) 서버 간의 상호 운용성을 유지할 수 있습니다. 특히 PAC(Privilege Attribute Certificate) 티켓 서명 확인에 대한 동작을 변경할 수 있습니다. 티켓 서명이 없는 사용자(S4U) 요청에 대해 Kerberos 주체에 대해 optional_pac_tkt_chksum 문자열 속성을 true 로 설정하는 경우 KDC는 PAC 티켓 서명이 없는 티켓이 포함된 사용자(S4U) 요청을 거부하지 않습니다. 티켓에 서명하는 주체는 티켓 대상 서비스의 영역에 따라 TGS( ticket-granting Service) 하나 또는 교차 영역 TGS 1입니다.
krb5-1.20 릴리스 이후 MIT Kerberos KDCs에는 Kerberos 티켓의 암호화된 부분을 기반으로 PAC에 티켓 서명이 있어야 S4U 요청을 성공적으로 처리할 수 있어야 합니다. 이전에는 특정 KDC가 krb5-1.19 이상을 사용하는 점진적 업그레이드 시나리오에서 문제가 되었지만 다른 사용자는 krb5-1.20 이상을 사용했습니다. S4U에 최신 버전의 krb5 를 사용하는 KDC는 서비스가 S4U 요청에 사용된 경우 krb5 의 이전 버전을 사용하여 KDC에서 제공한 서비스 티켓을 거부했습니다.
IdM(Identity Management)에서 이 기능을 사용하는 방법에 대한 자세한 내용은 이 가져오기 요청을 참조하십시오.
IdM에서 리소스 기반 위임 지원
이번 업데이트를 통해 IdM은 이제 RBCD(리소스 기반 제한 위임)를 지원합니다. RBCD를 사용하면 리소스 수준에서 위임을 세부적으로 제어할 수 있으며 자격 증명이 위임되는 서비스의 소유자가 액세스를 설정할 수 있습니다.
예를 들어, RBCD는 대상 서비스와 프록시 서비스가 다른 포리스트에 속할 때 AD가 RBCD 사용을 적용하기 때문에 IdM과 AD(Active Directory) 간의 통합에 유용할 수 있습니다.
현재 IdM 도메인의 서비스만 RBCD 규칙을 사용하여 구성할 수 있습니다. 대상 서비스가 AD 도메인의 일부인 경우 AD 측에서만 권한을 부여할 수 있습니다. AD 도메인 컨트롤러는 IdM 서비스 정보를 확인하여 규칙을 생성할 수 없으므로 현재 지원되지 않습니다.
위임 시나리오에 대한 자세한 내용은 FreeIPA 디자인 페이지를 참조하십시오.
RHEL 9.3에서 389-ds-base 2.3.4 제공
RHEL 9.3은 389-ds-base 패키지 버전 2.3.4와 함께 배포됩니다. 버전 2.3.4에 비해 주요 버그 수정 및 개선 사항은 다음과 같습니다.
- https://www.port389.org/docs/389ds/releases/release-2-2-8.html
- https://www.port389.org/docs/389ds/releases/release-2-2-9.html
- https://www.port389.org/docs/389ds/releases/release-2-3-0.html
- https://www.port389.org/docs/389ds/releases/release-2-3-1.html
- https://www.port389.org/docs/389ds/releases/release-2-3-2.html
- https://www.port389.org/docs/389ds/releases/release-2-3-3.html
- https://www.port389.org/docs/389ds/releases/release-2-3-4.html
이제 바인딩 작업이 실패하면 Directory Server에서 클라이언트 연결을 닫을 수 있습니다.
이전에는 바인딩 작업이 실패하면 반환 코드를 무시하는 일부 애플리케이션에서 추가 요청과 함께 Director Server를 로드할 수 있었습니다.
바인딩
새 nsslapd-close-on-failed- 구성 속성을 bind cn=config 항목에 사용하면 바인딩 작업이 실패할 때 서버가 클라이언트 연결을 닫을 수 있습니다. 따라서 서버 로드를 줄일 수 있습니다.
Automembership 플러그인 개선 사항 기본적으로 더 이상 그룹을 정리하지 않습니다.
이전에는 automember rebuild 작업이 모든 automember 규칙을 통과하고 모든 멤버십을 제거한 다음, 작업이 처음부터 멤버십을 다시 빌드했습니다. 따라서 다른 be_txn 플러그인이 활성화된 경우 재구축 작업이 많이 필요했습니다.
이번 업데이트를 통해 Automembership 플러그인에 다음과 같은 개선 사항이 추가되었습니다.
- 한 번에 하나의 재구축 작업만 허용됩니다.
이제 Automembership 플러그인은 기본적으로 이전 멤버를 정리하지 않습니다. 새 CLI 옵션
--cleanup을 사용하여 처음부터 다시 빌드하기 전에 의도적으로 멤버십을 정리합니다.# dsconf slapd-instance_name plugins automember fixup -f objectclass=posixaccount -s sub --cleanup "ou=people,dc=example,dc=com"- 수정 진행 상황을 표시하기 위해 로깅이 개선되었습니다.
새로운 passwordAdminSkipInfoUpdate: on/off 설정 옵션을 사용할 수 있습니다.
cn=config 항목 아래에 새 passwordAdminSkipInfoUpdate: on/off 설정을 추가하여 암호 관리자가 수행하는 암호 업데이트를 세밀하게 제어할 수 있습니다. 이 설정을 활성화하면 암호 업데이트는 특정 속성(예: passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset, passwordExpWarned )을 업데이트하지 않습니다.
Directory Server 플러그인 및 클라이언트 애플리케이션에서 새로운 slapi_memberof() 플러그인 함수를 사용할 수 있습니다.
새로운 slapi_memberof() 함수는 지정된 항목이 직접 또는 간접적으로 속하는 그룹의 고유 이름(DN)을 검색합니다. 이전에는 MemberOf, Referential Integrity 및 ACL 플러그인에서 이러한 그룹을 검색하는 자체 메커니즘을 구현했습니다. 이번 업데이트를 통해 그룹 DN을 반환하는 통합 메커니즘을 도입하는 slapi_memberof() 함수를 사용할 수 있습니다.
Directory Server는 이제 가상 특성 nsRole 을 관리 및 필터링된 역할에 대한 인덱싱된 속성으로 대체
이전에는 해당 속성을 인덱싱할 수 없기 때문에 필터에 nsRole 이 가상 특성을 포함하는 LDAP 검색에 시간이 오래 걸렸습니다. 이번 업데이트를 통해 필터에서 nsRole 가상 특성을 사용하여 ldapsearch 를 수행하면 Directory Server가 nsRole 속성을 다음과 같이 대체합니다.
-
관리 역할의 경우
nsRole속성이nsRoleDN속성으로 교체됩니다. -
필터링된 역할의 경우
nsRole속성이nsRoleFilter속성으로 교체됩니다.
결과적으로 검색이 인덱싱되기 때문에 nsRole 특성을 사용한 검색 시간이 향상됩니다.
이 업데이트는 중첩된 역할에 적용되지 않습니다.
새로운 nsslapd-numlisteners 구성 옵션 사용 가능
nsslapd-numlisteners 속성은 설정된 연결을 모니터링하는 데 사용할 수 있는 리스너 스레드 디렉터리 서버의 수를 지정합니다. 특성 값을 늘리면 서버에서 많은 수의 클라이언트 연결이 발생할 때 응답 시간을 개선할 수 있습니다.
IdM은 PAC 서명에 사용되는 암호화 유형을 제어하는 옵션을 지원합니다.
기본적으로 Kerberos KMS(Key Distribution Center)는 PAC(Privilege Attribute Certificate)에 대한 AES HMAC-SHA2 서명을 생성합니다. 그러나 이 암호화 유형은 AD(Active Directory)에서 지원되지 않습니다. 결과적으로 AD 교차 영역 간 위임 요청이 올바르게 처리되지 않습니다.
이번 개선된 기능을 통해 TGS 주체 krbtgt/[realm]@[realm] 에서 pac_privsvr_entype 속성을 대상 영역에 필요한 암호화 유형으로 설정하여 PAC에 서명하는 데 사용되는 암호화 유형을 제어할 수 있습니다. IdM에서 이 문자열 속성은 AD 신뢰가 있는 경우 자동으로 구성됩니다.
WARNING: This update is about standalone MIT realms. Do not change the Kerberos Distribution Center (KDC) configuration in RHEL Identity Management.
예를 들어 MIT 영역과 AD 영역의 경우 TGT(cross-realm ticket-granting ticket-granting ticket-granting ticket)에서 AD 호환 암호화 유형을 사용하려면 관리자가 MIT 측에 표시된 대로 교차 Realm TGS 주체를 구성해야 합니다. 이로 인해 AES 256 HMAC-SHA1 암호화 유형을 사용하고 제한된 위임 요청이 올바르게 처리되는 교차 영역 TGT가 생성됩니다.
kadmin.local <<EOF setstr krbtgt/AD@IPA pac_privsvr_enctype aes256-cts-hmac-sha1-96 setstr krbtgt/IPA@AD pac_privsvr_enctype aes256-cts-hmac-sha1-96 EOF
Identity Management API가 완전히 지원됨
IdM(Identity Management) API는 RHEL 9.2에서 기술 프리뷰로 사용되었으며 RHEL 9.3부터 완전 지원됩니다.
IdM API가 여러 버전의 API 명령을 사용하도록 향상된 경우에도 기존 툴과 스크립트를 사용할 수 있습니다. 이러한 개선 사항은 호환되지 않는 방식으로 명령의 동작을 변경하지 않습니다. 다음과 같은 이점이 있습니다.
- 관리자는 관리 클라이언트보다 서버에서 이전 또는 이후 버전의 IdM을 사용할 수 있습니다.
- 서버에서 IdM 버전이 변경되어도 개발자는 특정 버전의 IdM 호출을 사용할 수 있습니다.
한 측에서 사용하는 경우(예: 기능에 대한 새 옵션을 도입하는 최신 버전)와 관계없이 서버와의 통신이 가능합니다.
- 참고
- IdM API는 JSON-RPC 인터페이스를 제공하지만 이러한 유형의 액세스는 지원되지 않습니다. 대신 Python을 사용하여 API에 액세스하는 것이 좋습니다. Python을 사용하면 서버에서 메타데이터 검색과 같은 중요한 부분을 자동화하여 사용 가능한 모든 명령을 나열할 수 있습니다.
