9.11. IdM (Identity Management)
DNSSEC를 IdM에서 기술 프리뷰로 사용 가능
통합 DNS가 있는 IdM(Identity Management) 서버는 DNS 프로토콜의 보안을 강화하는 DNS 확장 프로그램 세트인 DNSSEC(DNS Security Extensions)를 구현합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 로그인할 수 있습니다. 암호화 키가 자동으로 생성되고 순환됩니다.
DNSSEC로 DNS 영역을 보호하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.
통합 DNS가 있는 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 권장되는 이름 지정 방식에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다.
HSM 지원은 기술 프리뷰로 사용 가능
HSM(하드웨어 보안 모듈) 지원은 이제 IdM(Identity Management)에서 기술 프리뷰로 제공됩니다. IdM CA 및 KRA의 키 쌍과 인증서를 HSM에 저장할 수 있습니다. 이는 개인 키 자료에 물리적 보안을 추가합니다.
IdM은 HSM의 네트워킹 기능을 사용하여 시스템 간 키를 공유하여 복제본을 생성합니다. HSM은 대부분의 IPA 작업에 영향을 미치지 않고 추가 보안을 제공합니다. 낮은 수준의 툴링을 사용하면 인증서와 키가 다르게 처리되지만 대부분의 사용자에게 원활합니다.
기존 CA 또는 KRA를 HSM 기반 설정으로 마이그레이션하는 것은 지원되지 않습니다. HSM의 키를 사용하여 CA 또는 KRA를 다시 설치해야 합니다.
다음이 필요합니다.
- 지원되는 HSM
- HSM PKCS #11 라이브러리
- 사용 가능한 슬롯, 토큰 및 토큰 암호
HSM에 저장된 키가 있는 CA 또는 KRA를 설치하려면 토큰 이름과 PKCS #11 라이브러리의 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kra
Jira:RHELDOCS-17465[1]
LMDB 데이터베이스 유형은 Directory Server에서 기술 프리뷰로 사용 가능
Lightning Memory-Mapped Database(LMDB)는 지원되지 않는 기술 프리뷰로 Directory Server에서 사용할 수 있습니다.
현재 명령줄만 사용하여 LMDB가 있는 인스턴스를 마이그레이션하거나 설치할 수 있습니다.
기존 인스턴스를 BDB(Berkeley Database)에서 LMDB로 마이그레이션하려면 nsslapd-backend-implement
매개변수 값을 mdb
로 설정하는 dsctl instance_name dblib bdb2mdb
명령을 사용합니다. 이 명령은 이전 데이터를 정리하지 않습니다. nsslapd-backend-implement
를 bdb
로 변경하여 데이터베이스 유형을 되돌릴 수 있습니다. 자세한 내용은 기존 DS 인스턴스에서 BDB에서 LMDB로 데이터베이스 유형을 마이그레이션 을 참조하십시오.
- 중요
- 기존 인스턴스를 BDB에서 LMDB로 마이그레이션하기 전에 데이터베이스를 백업하십시오. 자세한 내용은 Directory Server 백업을 참조하십시오.
LMDB로 새 인스턴스를 생성하려면 다음 방법 중 하나를 사용할 수 있습니다.
-
대화형 설치 프로그램에서
mdb
또는 bdb가 행 사용 여부를 선택에서 mdb 를 설정합니다. 자세한 내용은 대화형 설치 프로그램을 사용하여 인스턴스 생성을 참조하십시오. -
.inf
파일에서 [slapd] 섹션에db_lib = mdb
를 설정합니다. 자세한 내용은 Directory Server 인스턴스 설치에 대한.inf
파일 만들기를 참조하십시오.
Directory Server는 cn=mdb,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config
항목 아래에 LMDB 설정을 저장합니다.
nsslapd-mdb-max-size
는 데이터베이스 최대 크기를 바이트 단위로 설정합니다.중요:
nsslapd-mdb-max-size
가 의도한 모든 데이터를 저장할 수 있을 만큼 충분히 높은지 확인합니다. 그러나 데이터베이스 파일이 메모리 매핑되므로 매개 변수 크기가 성능에 영향을 미치는 데 너무 길지 않아야 합니다.-
nsslapd-mdb-max-readers
는 동시에 열 수 있는 최대 읽기 작업 수를 설정합니다. Directory Server는 이 설정을 자동으로 조정합니다. -
nsslapd-mdb-max-dbs
는 메모리 매핑된 데이터베이스 파일에 포함될 수 있는 최대 명명된 데이터베이스 인스턴스 수를 설정합니다.
새로운 LMDB 설정과 함께 nsslapd-db-home-directory
데이터베이스 구성 매개변수를 계속 사용할 수 있습니다.
혼합된 구현의 경우 복제 토폴로지에 BDB 및 LMDB 복제본을 사용할 수 있습니다.
Jira:RHELDOCS-19061[1]
ACME를 기술 프리뷰로 사용 가능
ACME(Automated Certificate Management Environment) 서비스는 이제 IdM(Identity Management)에서 기술 프리뷰로 사용할 수 있습니다. ACME는 자동 식별자 검증 및 인증서 발행을 위한 프로토콜입니다. 이는 인증서 수명을 줄이고 인증서 라이프사이클 관리에서 수동 프로세스를 방지하여 보안을 개선하는 것입니다.
RHEL에서 ACME 서비스는 RHCS(Red Hat Certificate System) PKI ACME 응답자를 사용합니다. RHCS ACME 하위 시스템은 IdM 배포의 모든 CA(인증 기관) 서버에 자동으로 배포되지만 관리자가 이를 활성화할 때까지 서비스 요청은 수행하지 않습니다. RHCS는 ACME 인증서를 발행할 때 acmeIPAServerCert
프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. ACME 서비스를 활성화하거나 비활성화하면 전체 IdM 배포에 영향을 미칩니다.
모든 서버가 RHEL 8.4 이상을 실행하는 IdM 배포에서만 ACME를 활성화하는 것이 좋습니다. 이전 RHEL 버전에는 ACME 서비스가 포함되어 있지 않으므로 혼합 버전 배포에서 문제가 발생할 수 있습니다. 예를 들어 ACME가 없는 CA 서버는 다른 DNS Subject Alternative Name(SAN)을 사용하므로 클라이언트 연결이 실패할 수 있습니다.
현재 RHCS는 만료된 인증서를 제거하지 않습니다. ACME 인증서는 90일 후에 만료되므로 만료된 인증서는 누적될 수 있으며 이는 성능에 영향을 미칠 수 있습니다.
전체 IdM 배포에서 ACME를 활성화하려면
ipa-acme-manage enable
명령을 사용합니다.# ipa-acme-manage enable The ipa-acme-manage command was successful
전체 IdM 배포에서 ACME를 비활성화하려면
ipa-acme-manage disable
명령을 사용합니다.# ipa-acme-manage disable The ipa-acme-manage command was successful
ACME 서비스가 설치되어 있고 활성화되어 있는지 확인하려면
ipa-acme-manage status
명령을 사용합니다.# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Bugzilla:2084181[1]
IdM-to-IdM 마이그레이션은 기술 프리뷰로 사용 가능
IdM-to-IdM 마이그레이션은 Identity Management에서 기술 프리뷰로 사용할 수 있습니다. 새로운 ipa-migrate
명령을 사용하여 SUDO 규칙, HBAC, DNA 범위, 호스트, 서비스 등과 같은 모든 IdM 관련 데이터를 다른 IdM 서버로 마이그레이션할 수 있습니다. 예를 들어 개발 또는 스테이징 환경에서 프로덕션 환경으로 IdM을 이동하거나 두 개의 프로덕션 서버 간에 IdM 데이터를 마이그레이션할 때 유용할 수 있습니다.
Jira:RHELDOCS-18408[1]