4.13. IdM (Identity Management)
SSSD에서 암호 없는 새로운 인증 방법을 사용할 수 있습니다.
이번 업데이트를 통해 FIDO2 사양과 호환되는 생체 인식 장치를 사용하도록 SSSD에서 암호 없는 인증을 활성화하고 구성할 수 있습니다(예: YubiKey). FIDO2 토큰을 미리 등록하고 RHEL IdM, Active Directory 또는 LDAP 저장소의 사용자 계정에 이 등록 정보를 저장해야 합니다. RHEL은 현재 USB 기반 토큰만 지원하는 libfido2 라이브러리와 FIDO2 호환성을 구현합니다.
Jira:RHELDOCS-17841[1]
ansible-freeipa ipauser 및 ipagroup 모듈에서 새로운 이름이 변경된 상태를 지원
이번 업데이트를 통해 ansible-freeipa ipauser 모듈에서 이름 변경 상태를 사용하여 기존 IdM 사용자의 사용자 이름을 변경할 수 있습니다. ansible-freeipa ipagroup 모듈에서 이 상태를 사용하여 기존 IdM 그룹의 그룹 이름을 변경할 수도 있습니다.
이제 ID 관리 사용자가 외부 ID 공급자를 사용하여 IdM에 인증할 수 있습니다.
이번 개선된 기능을 통해 OAuth 2 장치 권한 부여 흐름을 지원하는 외부 ID 공급자(IdP)와 IdM(Identity Management) 사용자를 연결할 수 있습니다. 이러한 IdP의 예로는 Red Hat build of Keycloak, Microsoft Entra ID (이전 Azure Active Directory), GitHub 및 Google이 있습니다.
IdP 참조 및 IdM에 연결된 IdP 사용자 ID가 있는 경우 IdM 사용자가 외부 IdP에서 인증할 수 있도록 해당 ID를 사용할 수 있습니다. 외부 IdP에서 인증 및 승인을 수행한 후 IdM 사용자는 Single Sign-On 기능이 있는 Kerberos 티켓을 받습니다. 사용자는 RHEL 9.1 이상에서 사용할 수 있는 SSSD 버전으로 인증해야 합니다.
Jira:RHELPLAN-169666[1]
IPA 버전 4.11로 업데이트
ipa 패키지가 버전 4.10에서 4.11로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
- FIDO2 기반 passkeys 지원
- Kerberos 서비스를 위한 RBCD(리소스 기반 위임)의 초기 구현.
-
ipalib.api의 컨텍스트 관리자가 자동으로 구성, 연결 및 연결을 해제합니다. - IdM 복제본은 이제 Kerberos 인증뿐만 아니라 모든 IPA API 및 CA 요청에 대해서도 선택한 서버에 대해 설치됩니다.
-
ansible-freeipa패키지는 버전 1.11에서 1.12.1로 변경되었습니다. -
ipa-healthcheck패키지는 버전 0.12에서 0.16로 변경되었습니다.
자세한 내용은 업스트림 릴리스 노트 를 참조하십시오.
만료된 KCM Kerberos 티켓 삭제
이전에는 Kerberos Credential Manager(KCM)에 새 인증 정보를 추가하려고 시도했지만 이미 스토리지 공간 제한에 도달한 경우 새 인증 정보가 거부되었습니다. 사용자 스토리지 공간은 기본값이 64인 max_uid_ccaches 구성 옵션에 의해 제한됩니다. 이번 업데이트를 통해 스토리지 공간 제한에 도달한 경우 가장 오래된 만료된 인증 정보가 제거되고 새 인증 정보가 KCM에 추가됩니다. 만료된 인증 정보가 없으면 작업이 실패하고 오류가 반환됩니다. 이 문제를 방지하려면 kdestroy 명령을 사용하여 인증 정보를 제거하여 일부 공간을 확보할 수 있습니다.
IdM에서 idoverrideuser,idoverridegroup 및 idview Ansible 모듈 지원
이번 업데이트를 통해 ansible-freeipa 패키지에 다음 모듈이 포함됩니다.
idoverrideuser- IdM(Identity Management) LDAP 서버에 저장된 사용자의 사용자 속성을 재정의할 수 있습니다(예: 사용자 로그인 이름, 홈 디렉터리, 인증서 또는 SSH 키).
idoverridegroup- IdM LDAP 서버에 저장된 그룹의 특성(예: 그룹 이름, GID 또는 설명)을 재정의할 수 있습니다.
idview- 사용자 및 그룹 ID 덮어쓰기를 구성하고 특정 IdM 호스트에 적용할 수 있습니다.
나중에 이러한 모듈을 사용하여 AD 사용자가 스마트 카드를 사용하여 IdM에 로그인할 수 있습니다.
idp Ansible 모듈을 사용하면 IdM 사용자를 외부 IdP와 연결할 수 있습니다.
이번 업데이트를 통해 idp ansible-freeipa 모듈을 사용하여 OAuth 2 장치 권한 부여 흐름을 지원하는 IdM(Identity Management) 사용자를 외부 ID 공급자(IdP)와 연결할 수 있습니다. IdM에 IdP 참조 및 관련 IdP 사용자 ID가 있는 경우 이를 사용하여 IdM 사용자에 대한 IdP 인증을 활성화할 수 있습니다.
외부 IdP에서 인증 및 승인을 수행한 후 IdM 사용자는 Single Sign-On 기능이 있는 Kerberos 티켓을 받습니다. 사용자는 RHEL 8.7 이상에서 사용할 수 있는 SSSD 버전으로 인증해야 합니다.
getcert add-ca 는 인증서가 이미 있거나 추적된 경우 새 반환 코드를 반환합니다.
이번 업데이트를 통해 이미 있거나 추적 중인 인증서를 추가하거나 추적하려고 하는 경우 getcert 명령에서 특정 반환 코드 2 를 반환합니다. 이전에는 명령에서 오류 조건에 대해 반환 코드 1 을 반환했습니다.
ansible-freeipa에서 DNS 영역 관리 위임이 활성화됨
이제 dnszone ansible-freeipa 모듈을 사용하여 DNS 영역 관리를 위임할 수 있습니다. dnszone 모듈의 permission 또는 managedby 변수를 사용하여 영역별 액세스 위임 권한을 구성합니다.
모든 LDAP 클라이언트에 대해 OTP 사용 적용
RHEL IdM에서 RHBA-2024:2558 권고를 릴리스하면 OTP(two-factor) 인증이 구성된 사용자 계정의 LDAP 서버 인증에 대한 기본 동작을 설정할 수 있습니다. OTP가 적용되면 LDAP 클라이언트는 OTP 토큰을 연결된 사용자에 대해 단일 요소 인증(암호)을 사용하여 LDAP 서버에 대해 인증할 수 없습니다. 이 방법은 데이터 없이 OID 2.16.840.1.113730.3.8.10.7에서 특수 LDAP 제어를 사용하여 Kerberos 백엔드를 통해 이미 시행됩니다.
관리자는 모든 LDAP 클라이언트에 OTP 사용을 적용하기 위해 다음 명령을 사용할 수 있습니다.
$ ipa config-mod --addattr ipaconfigstring=EnforceLDAPOTP
모든 LDAP 클라이언트의 이전 OTP 동작으로 다시 변경하려면 다음 명령을 사용합니다.
$ ipa config-mod --delattr ipaconfigstring=EnforceLDAPOTP
Jira:RHEL-23377[1]
runasuser_group 매개변수를 ansible-freeipa ipasudorule에서 사용할 수 있습니다.
이번 업데이트를 통해 ansible-freeipa ipa 모듈을 사용하여 sudo 규칙에 대해 RunAs Users 그룹을 설정할 수 있습니다. 옵션은 이미 IdM(Identity Management) 명령줄 인터페이스 및 IdM 웹 UI에서 사용할 수 있습니다.
sudo rule
389-DS-base 버전 2.4.5로 업데이트
389-ds-base 패키지가 버전 2.4.5로 업데이트되었습니다. 버전 2.3.4에 비해 주요 버그 수정 및 개선 사항은 다음과 같습니다.
- https://www.port389.org/docs/389ds/releases/release-2-3-5.html
- https://www.port389.org/docs/389ds/releases/release-2-3-6.html
- https://www.port389.org/docs/389ds/releases/release-2-3-7.html
- https://www.port389.org/docs/389ds/releases/release-2-4-0.html
- https://www.port389.org/docs/389ds/releases/release-2-4-1.html
- https://www.port389.org/docs/389ds/releases/release-2-4-2.html
- https://www.port389.org/docs/389ds/releases/release-2-4-3.html
- https://www.port389.org/docs/389ds/releases/release-2-4-4.html
- https://www.port389.org/docs/389ds/releases/release-2-4-5.html
이제 ns-slapd 프로세스에 대해 투명 대규모 페이지가 기본적으로 비활성화되어 있습니다.
대용량 데이터베이스 캐시를 사용하면 THP(Transparent Huge Pages)가 많은 부하에서 Directory Server 성능에 부정적인 영향을 미칠 수 있습니다(예: 높은 메모리 공간, 높은 CPU 사용량 및 대기 시간 급증). 이번 개선된 기능을 통해 ns-slapd 프로세스의 THP_DISABLE=1 구성 옵션이 /usr/lib/ 드롭인 구성 파일에 추가되었습니다.
systemd /system/ dirsrv @.service.d/custom.conf
또한 Directory Server 상태 점검 툴에서 THP 설정을 감지합니다. THP 시스템 전체 및 Directory Server 인스턴스에 대해 활성화한 경우 상태 점검 툴에서 활성화된 THP에 대해 알리고 비활성화 방법에 대한 권장 사항을 출력합니다.
계정 정책 플러그인에 새로운 lastLoginHistSize 구성 속성을 사용할 수 있습니다.
이전에는 사용자가 성공적으로 바인딩할 때 마지막 로그인 시간만 사용할 수 있었습니다. 이번 업데이트를 통해 새로운 lastLoginHistSize 구성 속성을 사용하여 성공적인 로그인 기록을 관리할 수 있습니다. 기본적으로 마지막 5개의 성공적인 로그인이 저장됩니다.
성공적인 로그인 통계를 수집하려면 lastLoginHistSize 속성의 경우 계정 정책 플러그인에 대해 alwaysRecordLogin 속성을 활성화해야 합니다.
자세한 내용은 lastLoginHistSize 를 참조하십시오.
Jira:RHEL-5133[1]
MFA 바인딩 식별을 위한 액세스 로그의 새 notes=M 메시지
이번 업데이트를 통해 MFA 플러그인과 같은 사전 바인딩 인증 플러그인을 사용하여 사용자 계정에 대한 2 단계 인증을 구성할 때 Directory Server 로그 파일은 BIND 작업 중에 다음 메시지를 기록합니다.
액세스 로그는 새
notes=M노트 메시지를 기록합니다.[time_stamp] conn=1 op=0 BIND dn="uid=jdoe,ou=people,dc=example,dc=com" method=128 version=3 [time_stamp] conn=1 op=0 RESULT err=0 tag=97 nentries=0 wtime=0.000111632 optime=0.006612223 etime=0.006722325 notes=M details="Multi-factor Authentication" dn="uid=jdoe,ou=people,dc=example,dc=com"보안 로그는 새로운 ScanSetting
PLE/MFA바인딩 방법을 기록합니다.{ "date": "[time_stamp] ", "utc_time": "1709327649.232748932", "event": "BIND_SUCCESS", "dn": "uid=djoe,ou=people,dc=example,dc=com", "bind_method": "SIMPLE\/MFA", "root_dn": false, "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "op_id": 0, "msg": "" }
이러한 메시지를 기록하기 위한 액세스 및 보안 로그의 경우 바인딩이 이 플러그인의 일부인 경우 사전 바인딩 인증 플러그인은 SLAPI API를 사용하여 플래그를 설정해야 합니다.
Jira:RHELDOCS-17838[1]
새로운 inchainMatch 일치 규칙을 사용할 수 있음
이번 업데이트를 통해 클라이언트 애플리케이션은 새로운 inchainMatch 일치 규칙을 사용하여 LDAP 항목의 상위 항목을 검색할 수 있습니다. 멤버,manager,parentOrganization 및 memberof 속성은 inchainMatch 일치 규칙과 함께 사용할 수 있으며 다음 검색을 수행할 수 있습니다.
- 사용자가 멤버인 모든 직접 또는 간접 그룹을 찾습니다.
- 관리자가 특정 사용자인 모든 직접 또는 간접 사용자를 찾습니다.
- 항목이 속한 모든 직접 또는 간접 조직을 찾습니다.
- 특정 그룹의 모든 직접 또는 간접 멤버를 찾습니다.
성능상의 이유로 클라이언트 애플리케이션이 inchainMatch 일치 규칙을 사용하여 이러한 속성에 대해 검색을 수행하는 경우 멤버 ,manager,parentOrganization 및 속성을 인덱싱해야 합니다.
member of
Directory Server는 기본적으로 활성화된 In Chain 플러그인을 사용하여 inchainMatch 일치 규칙을 구현합니다. 그러나 inchainMatch 는 계산에 비용이 많이 들기 때문에 액세스 제어 명령(ACI)은 일치하는 규칙 사용을 제한합니다.
자세한 내용은 inchainMatch 일치 규칙 사용을 참조하여 LDAP 항목의 조상을 찾습니다.
Jira:RHELDOCS-17256[1]
389-ds-base 패키지에서 HAProxy 프로토콜 지원
이전에는 Directory Server에서 프록시와 비 프록시 클라이언트 간의 들어오는 연결을 구분하지 않았습니다. 이번 업데이트를 통해 새로운 nsslapd-haproxy-trusted-ip 다중 값 구성 속성을 사용하여 신뢰할 수 있는 프록시 서버 목록을 구성할 수 있습니다. nsslapd-haproxy-trusted-ip 가 cn=config 항목에서 구성되면 Directory Server는 HAProxy 프로토콜을 사용하여 추가 TCP 헤더를 통해 클라이언트 IP 주소를 수신하여ACI(액세스 제어 지침)를 올바르게 평가하고 클라이언트 트래픽을 로깅할 수 있습니다.
신뢰할 수 없는 프록시 서버가 bind 요청을 시작하면 Directory Server는 요청을 거부하고 오류 로그 파일에 다음 메시지를 기록합니다.
[time_stamp] conn=5 op=-1 fd=64 Disconnect - Protocol error - Unknown Proxy - P4
자세한 내용은 nsslapd-haproxy-trusted-ip 를 참조하십시오.
Samba 버전 4.19.4로 업데이트
samba 패키지가 업스트림 버전 4.19.4로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
-
smbget유틸리티의 명령줄 옵션은 일관된 사용자 환경을 위해 이름이 변경 및 제거되었습니다. 그러나 유틸리티를 사용하는 기존 스크립트 또는 작업이 손상될 수 있습니다. 새 옵션에 대한 자세한 내용은smbget --help명령 및smbget(1)도움말 페이지를 참조하십시오. winbind debug traceid옵션이 활성화된 경우winbind서비스는 이제 다음 필드를 추가로 기록합니다.-
traceid: 동일한 요청에 속하는 레코드를 추적합니다. -
깊이: 요청 중첩 수준을 추적합니다.
-
- Samba는 더 이상 자체 암호화 구현을 사용하지 않으며 대신 GnuTLS 라이브러리에서 제공하는 암호화 기능을 완전히 사용합니다.
-
디렉터리 이름 캐시 크기옵션이 제거되었습니다.
Samba 4.11 이후 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.
Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.
Identity Management API가 완전히 지원됨
IdM(Identity Management) API는 RHEL 9.2에서 기술 프리뷰로 제공되었습니다. RHEL 9.3부터 완전 지원됩니다.
IdM API가 여러 버전의 API 명령을 사용하도록 향상된 경우에도 기존 툴과 스크립트를 사용할 수 있습니다. 이러한 개선 사항은 호환되지 않는 방식으로 명령의 동작을 변경하지 않습니다. 다음과 같은 이점이 있습니다.
- 관리자는 관리 클라이언트보다 서버에서 이전 또는 이후 버전의 IdM을 사용할 수 있습니다.
- 서버에서 IdM 버전이 변경되어도 개발자는 특정 버전의 IdM 호출을 사용할 수 있습니다.
한 측에서 사용하는 경우(예: 기능에 대한 새 옵션을 도입하는 최신 버전)와 관계없이 서버와의 통신이 가능합니다.
- 참고
- IdM API는 JSON-RPC 인터페이스를 제공하지만 이러한 유형의 액세스는 지원되지 않습니다. 대신 Python을 사용하여 API에 액세스하는 것이 좋습니다. Python을 사용하면 서버에서 메타데이터 검색과 같은 중요한 부분을 자동화하여 사용 가능한 모든 명령을 나열할 수 있습니다.
