1장. 인증

Directory Server는 설정 가능한 정규화된 DN 캐시 지원

이번 업데이트에서는 memberOf와 같은 플러그인 및 DN 구문 속성으로 항목을 업데이트하는 작업에 대해 더 나은 성능을 제공합니다. 새로 구현된 설정가능한 정규화된 DN 캐시는 보다 효율적으로 서버에서 DN 처리를 할 수 있게 합니다.

비 암호 인증 사용 시 SSSD의 암호 만료 경고 표시

이전에 SSSD는 인증 단계에서만 암호 유효성을 확인할 수 있었습니다. SSH 로그인과 같이 비 암호 인증 방법이 사용될 때 SSSD는 인증 단계에서 호출되지 않아 암호 유효성 검사를 수행하지 않았습니다. 이번 업데이트에서는 인증 단계에서 계정 확인 단계로 검사를 이동했습니다. 그 결과 인증 도중 암호를 사용하지 않는 경우에도 SSSD는 암호 만료 경고를 발행할 수 있습니다. 보다 자세한 내용은 운용 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html에서 참조하십시오.

SSSD는 UPN (User Principal Name)으로 로그인 지원

사용자 이름에 더하여 UPN (User Principal Name) 속성은 사용자와 사용자 로그인을 식별하기 위해 SSSD에 의해 사용될 수 있습니다. 이는 Active Directory 사용자가 사용할 수 있는 기능입니다. 이러한 기능 개선을 통해 사용자 이름 및 도메인 또는 UPN 속성 중 하나를 사용하여 AD 사용자로 로그인할 수 있습니다.

SSSD는 캐시된 항목의 백그라운드 새로 고침 기능 지원

SSSD는 캐시된 항목이 백그라운드에서 대역외 (out-of-band) 업데이트를 할 수 있게 합니다. 이전 업데이트에서 캐시된 항목의 유효 기간이 만료되면 SSSD는 원격 서버에서 이를 불러와 데이터베이스에 새로이 저장되어 시간이 소모되었습니다. 이번 업데이트에서는 백엔드가 항상 이를 업데이트하기 때문에 항목이 즉시 반환됩니다. 이는 SSSD가 요청이 있을 때 만이 아니라 주기적으로 항목을 다운로드하기 때문에 서버에 높은 부하가 발생할 수 있음에 유의합니다.

sudo 명령의 zlib 압축 I/O 로그 지원

sudo 명령은 압축된 I/O 로그를 생성 및 처리하기 위해 sudo를 활성화하는 zlib 지원과 함께 구축되어 있습니다.

새 패키지: openscap-scanner

새로운 패키지인 openscap 스캐너는 이전의 스캐너 도구가 들어 있는 openscap-utils 패키지의 모든 종속 패키지를 설치하지 않고 관리자를 통해 OpenSCAP 스캐너 (oscap)를 설치 및 사용할 수 있도록 제공됩니다. 별도의 OpenSCAP 스캐너 패키지는 불필요한 의존 패키지 설치와 관련된 보안 위험을 줄일 수 있습니다. openscap-utils 패키지는 계속 사용할 수 있으며 기타 다른 도구가 포함되어 있습니다. oscap 도구만 필요한 사용자는 openscap-utils 패키지를 제거하고 openscap-scanner 패키지를 설치하는 것이 좋습니다.

NSS에 의해 지원되는 경우 TLS 1.0 이상 버전은 기본값으로 활성화됨

CVE-2014-3566, SSLv3 및 이전 프로토콜 버전은 기본값으로 비활성화되어 있습니다. Directory Server는 NSS 라이브러리에 의해 제공되는 다양한 방식으로 TLSv1.1 및 TLSv1.2와 같은 보안 SSL 프로토콜을 허용합니다. Directory Server 인스턴스와 통신할 때 콘솔이 사용하는 SSL 범위를 정의할 수 있습니다.

openldap에는 pwdChecker 라이브러리가 포함됨

이번 업데이트에는 OpenLDAP pwdChecker 라이브러리를 포함하여 OpenLDAP에 대해 Check Password 확장을 도입하고 있습니다. 확장에는 Red Hat Enterprise Linux 6에서 PCI 컴플라이언스가 필요합니다.

SSSD는 자동으로 검색된 AD 사이트 재정의 지원

클라이언트 연결의 AD (Active Directory) DNS 사이트는 기본값으로 자동 검색됩니다. 하지만 기본 자동 검색으로 특정 설정에서 가장 적합한 AD 사이트를 검색하지 못 할 수 있습니다. 이러한 경우 /etc/sssd/sssd.conf 파일의 [domain/NAME] 섹션에 있는 ad_site 매개 변수를 사용하여 수동으로 DNS 사이트를 정의할 수 있습니다. ad_site에 관한 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.

certmonger는 SCEP를 지원

certmonger 서비스는 SCEP (Simple Certificate Enrollment Protocol)를 지원하도록 업데이트되었습니다. 서버에서 인증서를 얻으려면 SCEP를 통해 등록을 제공할 수 있습니다.

Directory Server 삭제 작업을 위한 성능 개선

이전에 그룹 삭제 작업시 수행된 중첩된 그룹 자동 검색은 큰 고정 그룹이 있을 경우 작업을 완료하는데 오랜 시간이 소요되었습니다. 새로운 memberOfSkipNested 설정 속성이 추가되어 중첩된 그룹 검사를 생략할 수 있어 삭제 작업의 성능이 크게 개선되었습니다.

SSSD는 WinSync에서 교차 영역 트러스트로 사용자 마이그레이션 지원

사용자 설정의 새로운 ID 보기 메커니즘이 Red Hat Enterprise Linux 6.7에서 구현되었습니다. ID 보기는 Active Directory에 의해 사용되는 WinSync 동기화 기반 아키텍처에서 교차 영역 트러스트를 기반으로 하는 인프라로 ID 관리 사용자의 마이그레이션을 가능하게 합니다. ID 보기 및 마이그레이션 절차에 대한 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.

SSSD는 localauth Kerberos 플러그인 지원

이번 업데이트에는 로컬 권한에 대해 localauth Kerberos 플러그인이 추가되어 있습니다. 플러그인은 Kerberos 보안 주체가 자동으로 로컬 SSSD 사용자 이름에 매핑되게 합니다. 이러한 플러그인의 사용으로 krb5.conf 파일에 있는 auth_to_local 매개 변수를 더이상 사용할 필요가 없습니다. 플러그인에 대한 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.

SSSD는 시스템 로그인 권한이 없는 지정된 애플리케이션으로의 액세스를 지원

domains= 옵션이 pam_sss 모듈에 추가되어 /etc/sssd/sssd.conf 파일에 있는 domains= 옵션을 덮어쓰기합니다. 또한 이번 업데이트에는 pam_trusted_users 옵션이 추가되어 사용자가 SSSD 데몬에 의해 신뢰할 수 있는 숫자로된 UID 또는 사용자 이름 목록을 추가할 수 있습니다. 이에 더하여 신뢰할 수 없는 사용자를 위한 액세스 가능한 도메인 목록 및 pam_public_domains 옵션이 추가되었습니다. 이러한 새로운 옵션으로 시스템 설정을 활성화하여 일반 사용자가 시스템 자체의 로그인 권한 없이 특정 애플리케이션에 액세스할 수 있습니다. 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.

SSSD는 AD 및 IdM 전반에 걸쳐 일관된 사용자 환경을 지원

SSSD 서비스는 AD (Active Directory) 서버 즉 IdM (Identity Management)과 신뢰 관계에 있는 서버에서 지정된 POSIX 속성을 읽을 수 있습니다. 이번 업데이트에서 관리자는 AD 서버에서 IdM 클라이언트로 사용자 정의 사용자 셸 속성을 전송할 수 있습니다. 그 후 SSSD는 IdM 클라이언트에 사용자 정의 속성을 표시합니다. 이번 업데이트에서는 기업 전반에 걸쳐 일관된 환경을 유지할 수 있습니다. 현재 클라이언트 상의 homedir 속성은 AD 서버에서 subdomain_homedir 값을 표시함에 유의합니다. 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.

SSSD는 로그인 전 신뢰할 수 있는 AD 사용자에 대한 그룹 표시를 지원

IdM (Identity Management)과 신뢰 관계에 있는 AD 포리스트의 도메인에서 AD (Active Directory) 사용자는 로그인 이전에 그룹 맴버쉽을 확인할 수 있습니다. 그 결과 id 유틸리티는 사용자 로그인 없이 이러한 사용자에 대한 그룹을 표시합니다.

getcert는 certmonger 없이 인증서 요청을 지원

IdM (Identity Management) 클라이언트 킥스타트 등록 시 getcert 유틸리티를 사용한 인증서 요청에는 더이상 certmonger 서비스 실행을 필요로 하지 않습니다. 이전에는 이러한 작업을 수행 시도할 경우 certmonger가 실행되지 않아 작업이 실패했습니다. 이번 업데이트에서는 getcert가 D-Bus 데몬이 실행되지 않는 상태에서 성공적으로 인증서를 요청할 수 있습니다. certmonger 는 재부팅 후 이러한 방법으로 획득된 인증서 모니터링을 시작함에 유의합니다.

SSSD는 사용자 ID의 대소문자 유지 지원

SSSD는 case_sensitive 옵션의 true, false, preserve 값을 지원합니다. preserve 값이 활성화되면 대소문자에 상관없이 입력은 일치하지만 출력은 항상 서버 상의 것과 동일한 대소문자가 되어야 합니다. 즉 설정된 대로 SSSD가 UID 필드의 대소문자를 유지합니다.

SSSD는 잠긴 계정의 SSH 로그인 액세스 거부를 지원

이전에는 인증 데이터 베이스로 SSSD가 OpenLDAP를 사용할 때 사용자는 사용자 계정이 잠긴 후에도 SSH 키를 사용하여 성공적으로 시스템에 인증할 수 있었습니다. 이제는 이러한 경우 ldap_access_order 매개 변수가 ppolicy 값을 허용하여 사용자에게 SSH 액세스를 거부할 수 있습니다. ppolicy 사용에 대한 보다 자세한 내용은 sssd-ldap(5) man 페이지의 ldap_access_order 설명 부분에서 참조하십시오.

SSSD는 AD에서 GPO 사용을 지원

SSSD는 액세스 제어를 위해 AD (Active Directory) 서버에 저장된 GPO (Group Policy Objects)를 사용할 수 있습니다. 이러한 개선 사항은 Windows 클라이언트의 기능을 따르고 액세스 제어 규칙의 단일 세트는 Windows 및 Unix 시스템 모두를 처리하기 위해 사용될 수 있습니다. 사실상 Windows 관리자는 GPO를 사용하여 Linux 클라이언트에 대한 액세스를 제어할 수 있습니다. 보다 자세한 내용은 ID 관리 가이드 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html에서 참조하십시오.