Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

3장. 인증 및 상호 운용성

SSSD 스마트 카드 지원

SSSD에서는 로컬 인증을 위한 스마트 카드를 지원합니다. 이러한 기능으로 사용자는 스마트 카드를 사용하여 텍스트 기반이나 그래픽 콘솔을 사용하는 시스템은 물론 sudo 서비스와 같은 로컬 서비스에 로그온 할 수 있습니다. 사용자는 스마트카드를 리더기에 배치하여 로그인하라는 메시지가 나타나면 사용자 이름과 스마트 카드 PIN을 입력합니다. 스마트 카드 인증서가 확인되면 사용자는 인증 성공합니다.
SSSD는 현재 스마트 카드를 사용하여 Kerberos 티켓을 취득하기 위해 사용자를 활성화하지 않습니다. Kerberos 티켓을 취득하려면 사용자는 kinit 유틸리티를 사용하여 인증해야 합니다.
Red Hat Enterprise Linux 6에서 스마트 카드 지원을 활성화하려면 /etc/pam.d/password-auth/etc/pam.d/system-auth PAM 설정 파일의 auth 행을 수정하여 SSSD를 통해 암호, OTP (one-time password) 또는 스마트 카드 PIN을 입력하라는 메세지를 표시할 수 있도록 합니다. 보다 자세한 내용은 다음의 IdM (Identity Management) 가이드에서 참조하십시오: http://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Identity_Management_Guide/index.html#idm-smart-cards

SSSD에서 캐시 인증

SSSD에서 온라인 모드임에도 불구하고 연결 시도 없이 캐시 인증을 할 수 있습니다. 네트워크 서버에 직접적으로 인증을 반복하면 애플리케이션 대기 시간이 과도하게 길어지고 로그인 프로세스에 지나치게 시간이 소요될 수 있습니다.

IdM 서버 호환 플러그인 트리의 ou=sudoers,$DC 부분을 비활성화하여 성능 개선

IdM (Identity Management) 클라이언트는 slapi-nis Directory Server 플러그인에 의해 생성된 ou=sudoers,$DC 호환 트리 대신 IdM 서버의 LDAP 트리의 cn=sudorules,cn=sudo,$DC 부분에서 sudo 규칙을 검색할 수 있습니다.
레거시 클라이언트 지원과 같이 기타 다른 운영에 필요한 호환 트리가 있는 환경에서 사용자는 ou=sudoers,$DC 부분을 비활성화할 수 있습니다. 이는 인증 작업 수가 많은 환경에서 slapi-nis를 사용하여 호환 트리를 생성하는 것은 자원 소모가 되므로 이를 비활성화하여 성능을 개선합니다.

SSSD를 사용하여 개별 클라이언트에서 UID 및 GID 매핑 가능

sss_override 유틸리티에서 제공하는 SSSD를 사용한 클라이언트 측 설정을 통해 특정 Red Hat Enterprise Linux 클라이언트에 사용자를 다른 UID 및 GID에 매핑할 수 있습니다. 클라이언트 측의 덮어 쓰기를 통해 UID 및 GID 중복으로 인한 문제를 해결하거나 이전에 다른 ID 매핑을 사용하는 기존 시스템에서 쉽게 마이그레이션할 수 있습니다.
덮어쓰기는 SSSD 캐시에 저장됩니다. 따라서 캐시를 제거하면 덮어쓰기도 제거됩니다. 이 기능에 대한 보다 자세한 내용은 sss_override(8) man 페이지에서 참조하십시오.

initgroups 동작 캐싱

SSSD 고속 메모리 캐시는 initgroups 동작을 지원하여 initgroups 처리 속도를 강화하고 GlusterFS 및 slapi-nis와 같은 일부 애플리케이션의 성능을 개선합니다.

새 패키지: adcli

이번 업데이트에는 Red Hat Enterprise Linux 6에 adcli 패키지가 추가되어 있습니다. adcli 유틸리티를 통해 사용자는 Red Hat Enterprise Linux 6 클라이언트의 Active Directory (AD)에서 호스트, 사용자, 그룹 개체를 관리할 수 있습니다. 유틸리티는 주로 AD 도메인에 호스트를 가입시키고 호스트의 인증 정보를 업데이트하는데 사용됩니다.
adcli 유틸리티는 사이트를 인식하고 AD 도메인에 가입하기 위해 추가 설정을 필요로 하지 않습니다. SSSD 서비스를 실행하는 클라이언트에서 adcli는 정기적으로 호스트 인증 정보를 업데이트할 수 있습니다.

SSSD는 AD에 가입된 Linux 클라이언트의 호스트 인증 정보를 자동으로 업데이트할 수 있음

일부 Windows 유틸리티는 암호를 오랫 동안 업데이트하지 않은 호스트를 Active Directory (AD)에서 제거할 수 있습니다. 유틸리티는 클라이언트를 비활성화 상태로 간주하기 때문입니다.
이러한 기능으로 AD에 가입한 Linux 클라이언트의 호스트 암호는 정기적으로 업데이트되어 클라이언트가 여전히 활발하게 사용되고 있음으로 표시됩니다. 결과적으로 이러한 상황에서 AD에 가입한 Red Hat Enterprise Linux 클라이언트는 제거되지 않습니다.

SSSD는 대량의 RID 환경에서 AD 클라이언트의 ID 범위를 자동으로 조정할 수 있음

SSSD 서비스에 포함된 자동 ID 매핑 메커니즘은 ID 범위 도메인을 병합할 수 있습니다. 이전에는 Active Directory (AD) 도메인의 RID (relative ID)가 SSSD에 의해 지정된 ID 범위의 기본값 크기인 200,000 보다 클 경우 관리자는 SSSD에 의해 지정된 ID 범위를 적절한 RID로 수동 조절해야 했습니다.
이번 기능 개선으로 ID 매핑을 사용하는 AD 클라이언트의 경우 이러한 상황에서 SSSD는 자동으로 ID 범위를 조정합니다. 결과적으로 관리자는 더이상 ID 범위를 수동으로 조정할 필요가 없으며 기본 SSSD ID 매핑 시스템은 대규모 AD 환경에서도 작동합니다.

SSSD는 다른 도메인 컨트롤러에서 GPO 지원

SSSD는 다른 도메인 컨트롤러에서 GPO (Group Policy Objects)를 지원하기 위해 업데이트되었습니다.