2장. 인증

ca-certificate는 버전 2.4로 업그레이드

ca-certificates 패키지는 업스트림 버전 2.4로 업그레이드되어 이전 버전에 대해 여러 버그 수정 및 개선 사항을 제공합니다. 특히 ca-certificates에는 다음과 같은 수정 사항이 포함되어 있습니다:
이전에 Mozilla는 1024 비트 RSA 키가 포함된 기존 CA 인증서에서 신뢰성을 삭제했었습니다. 이 버전의 ca-certificates 패키지는 기본값으로 신뢰할 수 있는 기존 CA 인증서를 유지하기 위해 Mozilla 목록을 수정합니다. 이러한 수정을 통해 기존 PKI 배포 및 OpenSSL 또는 GnuTLS에 기반한 소프트웨어와 호환이 가능합니다.
ca-certificates 패키지에는 ca-legacy 명령이 포함되어 있어 언급된 호환 수정을 비활성화하는데 사용할 수 있습니다. 명령 사용법에 대한 보다 자세한 내용은 ca-legacy(8) man 페이지에서 참조하십시오.
기존 수정을 비활성화하고자 할 경우 지식 베이스 문서 1413643에서 참조하십시오. 이 문서에서는 이러한 수정 사항 및 수정 사항을 비활성화할 경우 잠재적으로 발생할 수 있는 사항에 대해 설명하고 있습니다.
ca-legacy 명령을 사용하려면 통합된 CA 저장소가 필요함에 유의합니다. 통합 CA 저장소를 활성화하는 방법은 update-ca-trust(8) man 페이지에서 참조하십시오.

단방향 신뢰성 지원

IdM (Identity Management)를 통해 사용자는 ipa trust-add 명령을 실행하여 단방향 신뢰성을 설정할 수 있습니다.

openldap는 버전 2.4.40으로 업그레이드

openldap 패키지는 업스트림 버전 2.4.40으로 업그레이드되어 이전 버전에 대해 여러 버그 수정 및 개선 사항을 제공합니다. 특히 ORDERING 일치 규칙이 ppolicy 속성 유형 설명에 추가되어 있습니다. 수정된 버그는 다음과 같습니다: SRV 기록 처리 시 더이상 서버가 예기치 않게 종료되지 않으며 누락된 objectClass 정보가 추가되어 사용자는 표준 방식으로 프런트 엔드 설정을 변경할 수 있습니다.

SSSD에서 캐시 인증

SSSD에서 온라인 모드임에도 불구하고 연결 시도 없이 캐시 인증을 할 수 있습니다. 네트워크 서버에 직접적으로 인증을 반복하면 애플리케이션 대기 시간이 과도하게 길어지고 로그인 프로세스에 지나치게 시간이 소요될 수 있습니다.

SSSD를 사용하여 개별 클라이언트에서 UID 및 GID 매핑 가능

SSSD를 사용하여 클라이언트 측 설정을 통해 특정 Red Hat Enterprise Linux 클라이언트에 사용자를 다른 UID 및 GID에 매핑할 수 있습니다. 클라이언트 측의 재정의 가능성을 통해 UID 및 GID 중복으로 인한 문제를 해결할 수 있습니다.

SSSD는 잠겨있는 계정에 SSH 액세스 거부 가능

이전에는 SSSD가 인증 데이터베이스로 OpenLDAP 사용 시 사용자는 사용자 계정이 잠긴 후에도 SSH 키로 시스템을 성공적으로 인증할 수 있었습니다. 현재 ldap_access_order 매개 변수가 ppolicy 값을 허용하여 이러한 상황에서 사용자가 SSH 액세스를 거부할 수 있습니다. ppolicy 사용에 대한 보다 자세한 내용은 sssd-ldap(5) man 페이지의 ldap_access_order 설명에서 참조하십시오.

sudo 유틸리티로 명령 체크섬 확인 가능

sudo 유틸리티 설정으로 허용된 스트립트 또는 명령의 체크섬을 저장할 수 있습니다. 명령 또는 스트립트를 다시 실행할 경우 체크섬은 저장된 체크섬과 비교하여 변경된 사항이 없는지를 확인합니다. 명령이나 바이너리가 수정된 경우 sudo 유틸리티는 명령 실행을 거부하거나 경고를 표시합니다. 이러한 기능을 통해 문제 발생 시 문제 해결 동작 및 책임을 제대로 양도할 수 있습니다.

SSSD 스마트 카드 지원

SSSD에서는 로컬 인증을 위한 스마트 카드를 지원합니다. 이러한 기능으로 사용자는 스마트 카드를 사용하여 텍스트 기반이나 그래픽 콘솔을 사용하는 시스템은 물론 sudo 서비스와 같은 로컬 서비스에 로그온 할 수 있습니다. 사용자는 스마트카드를 리더기에 배치하여 로그인하라는 메시지가 나타나면 사용자 이름과 스마트 카드 PIN을 입력합니다. 스마트 카드 인증서가 확인되면 사용자는 인증 성공합니다.
SSSD는 현재 스마트 카드를 사용하여 Kerberos 티켓을 취득하기 위해 사용자를 활성화하지 않습니다. Kerberos 티켓을 취득하려면 사용자는 kinit 유틸리티를 사용하여 인증해야 합니다.

여러 인증서 프로파일 지원

IdM (Identity Management)는 단일 서버 인증서 프로파일을 지원하는 대신 서버 및 다른 인증서를 발행하여 여러 프로파일을 지원합니다. 프로파일은 인증 시스템 (Certificate System)에 저장됩니다.

암호 저장소

암호 및 키와 같은 비공개 사용자 정보를 안전하게 중앙 저장할 수 있는 새로운 기능이 IdM에 추가되었습니다. 암호 저장은 PKI (Public Key Infrastructure) KRA (Key Recovery Authority) 서브 시스템 상단에 구축되어 있습니다.

IdM에서 DNSSEC 지원

통합된 DNS가 있는 IdM 서버는 DNS 프로토콜의 보안을 강화하는 DNS 확장 모음인 DNSSEC (DNS Security Extensions)을 지원합니다. IdM 서버 상에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동 서명할 수 있습니다. 암호화 키는 자동으로 생성되어 회전됩니다.
DNSSEC로 DNS 영역을 보안하고자 하는 사용자는 다음과 같은 문서를 읽어보시기 바랍니다:
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
통합된 DNS가 있는 IdM 서버는 다른 DNS 서버에서 취득한 DNS 응답을 인증하기 위해 DNSSE을 사용합니다. 다음의 Red Hat Enterprise Linux 네트워킹 가이드에 설명되어 있는 권장된 이름 지정 규칙에 따라 설정하지 않은 DNS 영역의 경우 가용성에 영향을 줄 수 있습니다: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices

IdM에서 Kerberos HTTPS 프록시

MS-KKDCP (Microsoft Kerberos KDC Proxy Protocol) 구현과 상호 운용성을 갖는 KDC (Key Distribution Center) 프록시 기능은 IdM에서 사용할 수 있으며 클라이언트가 HTTPS를 사용하여 KDC 및 kpasswd 서비스에 액세스할 수 있게 합니다. 시스템 관리자는 전용 애플리케이션을 설정 및 관리할 필요없이 단순한 HTTPS 역방향 프록시로 네트워크 가장자리에 프록시를 표시할 수 있습니다.

캐시된 항목의 백그라운드 새로 고침 기능

SSSD는 캐시된 항목이 백그라운드에서 대역외 (out-of-band) 업데이트를 할 수 있게 합니다. 이전 업데이트에서 캐시된 항목의 유효 기간이 만료되면 SSSD는 원격 서버에서 이를 불러와 데이터베이스에 새로 저장되어 시간이 소모되었습니다. 이번 업데이트에서는 백엔드가 항상 이를 업데이트하기 때문에 항목이 즉시 반환됩니다. 이는 SSSD가 요청이 있을 때 만이 아니라 주기적으로 항목을 다운로드하기 때문에 서버에 높은 부하가 발생할 수 있음에 유의합니다.

initgroups 동작 캐싱

SSSD 고속 메모리 캐시는 initgroups 동작을 지원하여 nitgroups 처리 속도를 강화하고 GlusterFS 및 slapi-nis와 같은 일부 애플리케이션의 성능을 개선합니다.

mod_auth_gssapi로 간소화된 협상 인증

IdM은 mod_auth_gssapi 모듈을 사용하여 이전에 mod_auth_kerb 모듈에서 사용된 직접 Kerberos 호출 대신 GSSAPI 호출을 사용합니다.

사용자 라이프 사이클 관리 기능

사용자 라이프 사이클 관리 기능을 통해 관리자는 사용자 계정 활성화 및 비활성화를 보다 정교하게 제어할 수 있습니다. 관리자는 새로운 사용자 계정을 완전히 활성화하지 않고 스테이지 영역에 추가하여 프로비저닝할 수 있으며 비활성화된 사용자 계정을 완전히 작동하도록 활성화하거나 데이터베이스에서 사용자 계정을 완전히 삭제하지 않고 비활성화할 수 있습니다.
사용자 라이프 사이클 관리 기능은 대량의 IdM 배포에 있어서 여러 장점을 갖습니다. 사용자는 직접 LDAP 동작을 사용하여 표준 LDAP 클라이언트에서 직접 스테이지 영역에 추가될 수 있음에 유의합니다. 이전에 IdM은 IdM 명령행 도구나 IdM 웹 UI를 사용하는 사용자 관리만 지원했습니다.

certmonger에서 SCEP 지원

certmonger 서비스는 SCEP (Simple Certificate Enrollment Protocol)를 지원하도록 업데이트되었습니다. SCEP를 통해 새로운 인증서를 발급하거나 기존 인증서를 재발급 또는교체할 수 있습니다.

새 패키지: ipsilon

ipsilon 패키지는 연결된 SSO (single sign-on)에 대해 Ipsilon id 공급자 서비스를 제공합니다. Ipsilon은 SSO를 허용하기 위해 인증 공급자와 애플리케이션 또는 유틸리티를 연결합니다. 이에는 Apache 기반 서비스 공급자를 설정하기 위한 서버 및 유틸리티가 포함됩니다.
Ipsilon 제공 SSO의 사용자 인증은 IdM 서버와 같은 별도의 IdM 시스템에 대해 수행됩니다. Ipsilon은 SAML 또는 OpenID와 같은 연결 프로토콜을 통해 여러 애플리케이션 및 유틸리티와 통신합니다.

NSS로 최소 허용키 강도 값을 늘림

Red Hat Enterprise Linux 7.2에서 NSS (Network Security Services) 라이브러리는 768 비트 미만의 DH (Diffie-Hellman) 키 변경 매개 변수 또는 키 크기가 1023 비트 미만인 RSA 및 DSA 인증서를 더이상 허용하지 않습니다. 최소 허용키 강도 값을 늘려 Logjam (CVE-2015-4000) 및 FREAK (CVE-2015-0204)와 같은 알려진 보안 취약점을 악용하는 공격을 방지합니다.
새로운 최소 값 보다 약한 키를 사용하여 서버에 연결 시도할 경우 이전 Red Hat Enterprise Linux 버전에서 이러한 연결이 작동했었더라도 연결 실패하게 됩니다.

nss 및 nss-util은 버전 3.19.1로 업그레이드됨

nssnss-util 패키지가 업스트림 버전 3.19.1로 업그레이드되어 이전 버전에 대해 여러 버그 수정 및 개선 사항을 제공합니다. 특히 이번 업데이트에서 사용자는 Mozila Firefox 38 Extended Support Release로 업그레이드할 수 있어 Logjam s보안 취약점 CVE-2015-4000을 악용한 공격을 방지할 수 있습니다.

IdM 용 Apache 모듈이 완전 지원됨

Red Hat Enterprise Linux 7.1에서 기술 프리뷰로 추가된 다음과 같은 IdM (Identity Management) 용 Apache 모듈은 현재 완전 지원됩니다: mod_authnz_pam, mod_lookup_identity, mod_intercept_form_submit. Apache 모듈은 간단한 인증 이외에 IdM과 긴밀한 상호 작용을 위해 외부 애플리케이션에서 사용할 수 있습니다.