8.12. IdM (Identity Management)
작업이 완료되면 할당된 메모리가 해제됨
이전에는 각 작업에 대해 KCM에 의해 할당된 메모리가 연결이 닫힐 때까지 해제되지 않았습니다. 결과적으로 연결을 열고 동일한 연결에서 많은 작업을 실행한 클라이언트 애플리케이션의 경우 연결이 닫힐 때까지 할당된 메모리가 해제되지 않았기 때문에 메모리가 눈에 띄게 증가했습니다. 이번 업데이트를 통해 작업이 완료되는 즉시 작업에 할당된 메모리가 릴리스됩니다.
이름에 혼합된 대소문자 문자가 포함된 경우 IdM 클라이언트는 신뢰할 수 있는 AD 사용자의 정보를 올바르게 검색
이전 버전에서는 사용자의 사용자 조회 또는 인증을 시도했고 신뢰할 수 있는 AD(Active Directory) 사용자에게 이름에 혼합된 케이스 문자가 포함되어 있고 IdM에서 재정의를 통해 구성된 경우 오류가 반환되어 사용자가 IdM 리소스에 액세스할 수 없었습니다.
이번 업데이트를 통해 대소문자를 구분하지 않는 비교가 문자의 대소문자를 무시하는 대소문자를 구분하지 않는 비교로 교체되었습니다. 결과적으로 사용자 이름에 혼합된 대소문자 문자가 포함되어 있고 IdM에서 재정의를 사용하여 구성된 경우에도 IdM 클라이언트는 AD 신뢰할 수 있는 도메인의 사용자를 조회할 수 있습니다.
암호를 변경하는 동안 유예 로그인이 남아 있지 않은 경우 SSSD에서 오류를 올바르게 반환합니다.
이전 버전에서는 사용자의 LDAP 암호가 만료된 경우 SSSD에서 더 이상 유예 로그인이 남아 있지 않아 사용자의 초기 바인딩에 실패한 후에도 암호를 변경하려고 했습니다. 그러나 사용자에게 반환된 오류는 실패 이유를 표시하지 않았습니다. 이번 업데이트를 통해 바인딩이 실패하면 암호 변경 요청이 중단되고 SSSD에서 더 이상 유예 로그인이 없음을 나타내는 오류 메시지를 반환하고 다른 방법으로 암호를 변경해야 합니다.
realm leave 명령을 사용하여 도메인에서 시스템 제거
이전 버전에서는 sssd.conf 파일의 ad_server 옵션에 여러 이름이 설정된 경우 realm leave 명령을 실행하면 구문 분석 오류가 발생하고 시스템이 도메인에서 제거되지 않았습니다. 이번 업데이트를 통해 ad_server 옵션이 올바르게 평가되고 올바른 도메인 컨트롤러 이름이 사용되고 도메인에서 시스템이 올바르게 제거됩니다.
KCM은 올바른 sssd.kcm.log 파일에 기록합니다.
이전에는 logrotate 가 Kerberos Credential Manager(KCM) 로그 파일을 올바르게 순환했지만 KCM은 이전 로그 파일인 sssd_kcm.log.1 에 로그를 잘못 작성했습니다. KCM이 다시 시작되면 올바른 로그 파일을 사용했습니다. 이번 업데이트를 통해 logrotate 가 호출된 후 로그 파일이 순환되고 KCM이 sssd_kcm.log 파일에 올바르게 로그됩니다.
realm leave --remove 명령은 더 이상 인증 정보를 요청하지 않음
이전에는 realm 유틸리티에서 realm leave 작업을 실행할 때 유효한 Kerberos 티켓을 사용할 수 있는지 올바르게 확인하지 않았습니다. 그 결과 유효한 Kerberos 티켓을 사용할 수 있는 경우에도 사용자에게 암호를 입력하라는 요청을 받았습니다. 이번 업데이트를 통해 이제 realm 에서 유효한 Kerberos 티켓이 있는지 올바르게 확인하고 더 이상 realm leave --remove 명령을 실행할 때 암호를 입력하도록 요청하지 않습니다.
일반적인 제한 위임 요청이 처리되는 경우 KDC에서 추가 검사를 실행합니다.
이전에는 Red Hat Enterprise Linux 8에서 실행되는 KDC에서 발행한 Kerberos 티켓의 전달 가능한 플래그에 취약하여 감지하지 않고 무단 수정을 허용했습니다. 이 취약점으로 인해 특정 권한이 없는 사용자 또는 사용자의 가장 공격이 발생할 수 있습니다. 이번 업데이트를 통해 KDC는 일반적인 제한된 위임 요청을 처리할 때 추가 검사를 실행하여 무단 플래그 수정의 탐지 및 거부를 보장하므로 취약점이 제거됩니다.
Jira:RHEL-9984[1]
도메인에 대한 SID가 생성되는 경우 전달 가능한 플래그를 확인합니다.Check on the forwardable flag is disabled in cases where SIDs are generated for the domain
이전에는 CVE-2020-17049에 대한 수정 사항을 제공하는 업데이트는 KDC가 일반적인 제한 위임 요청을 처리할 때 티켓 전달 가능한 플래그에서 특정 검사를 실행하기 위해 Kerberos PAC에 의존했습니다. 그러나 PAC는 SIDs 생성 작업이 과거 실행된 도메인에서만 생성됩니다. 이 작업은 RHEL(Red Hat Enterprise Linux) 8.5 이상에서 생성된 모든 IdM 도메인에 대해 자동으로 수행되지만 이전 버전에서 초기화된 도메인에는 이 작업을 수동으로 실행해야 합니다.
RHEL 8.4 이상에서 초기화된 IdM 도메인에 대해 SIDs 생성 작업이 수동으로 실행되지 않은 경우 PAC가 Kerberos 티켓에서 누락되어 모든 일반 위임 요청이 거부됩니다. 여기에는 일반적인 제한된 위임을 사용하는 IdM의 HTTP API가 포함됩니다.
이번 업데이트를 통해 도메인에 대해 SID가 생성되지 않은 경우 전달 가능 플래그를 확인할 수 없습니다. IdM HTTP API를 포함하여 일반적인 제한 위임에 의존하는 서비스는 계속 작동합니다. 그러나 Red Hat은 도메인에 사용자 지정 일반적인 제한 위임 규칙이 구성된 경우 최대한 빨리 도메인에서 SIDs 생성 작업을 실행하는 것이 좋습니다. 이 작업이 완료되기 전까지 도메인은 CVE-2020-17049에 취약합니다.
FIPS 모드에서 IdM Vault 암호화 및 암호 해독이 더 이상 실패하지 않음
이전에는 IdM Vault에서 OpenSSL RSA-PKCS1v15를 기본 패딩 래핑 알고리즘으로 사용했습니다. 그러나 RHEL의 FIPS 인증 모듈은 FIPS 승인 알고리즘으로 PKCS#1 v1.5를 지원하지 않아 FIPS 모드에서 IdM Vault가 실패합니다. 이번 업데이트를 통해 IdM Vault는 RSA-OAEP 패딩 패딩 알고리즘을 폴백으로 지원합니다. 결과적으로 IdM Vault 암호화 및 암호 해독이 FIPS 모드에서 올바르게 작동합니다.
Jira:RHEL-12143[1]
페이지가 지정된 결과 검색을 종료한 후 Directory Server가 더 이상 실패하지 않음
이전에는 경쟁 조건이 페이지링된 결과 검색을 중단하는 동안 힙 손상 및 Directory Server 실패의 이유였습니다. 이번 업데이트를 통해 경쟁 조건이 수정되었으며 Directory Server 오류가 더 이상 발생하지 않습니다.
Jira:RHEL-16830[1]
nsslapd-numlisteners 속성 값이 2 개 이상이면 Directory Server가 더 이상 실패하지 않습니다.
이전 버전에서는 nsslapd-numlisteners 속성 값이 2 보다 크면 Directory Server에서 허용되는 파일 설명자 대신 수신 대기 파일 설명자를 종료하는 경우가 있었습니다. 그 결과 Directory Server에서 세그먼트 오류가 발생했습니다. 이번 업데이트를 통해 Directory Server는 올바른 설명자를 닫고 포트에서 올바르게 수신 대기합니다.
이제 autobind 작업이 다른 연결에서 수행되는 작업에 영향을 미치지 않음
이전 버전에서는 자동 바인딩 작업이 진행 중일 때 Directory Server가 모든 연결에서 새 작업 수신을 중지했습니다. 이번 업데이트를 통해 autobind 작업은 다른 연결에 수행된 작업에 영향을 미치지 않습니다.
IdM 클라이언트 설치 프로그램에서 더 이상 ldap.conf 파일에 TLS CA 구성을 지정하지 않음
이전에는 IdM 클라이언트 설치 프로그램에서 ldap.conf 파일에 TLS CA 구성을 지정했습니다. 이번 업데이트를 통해 OpenLDAP는 기본 신뢰 저장소를 사용하고 IdM 클라이언트 설치 프로그램에서 ldap.conf 파일에 TLS CA 구성을 설정하지 않습니다.
