Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5장. 인증 및 상호 운용성

컨테이너에서 SSSD가 완전히 지원됨

SSSD(System Security Services Daemon)를 제공하는 rhel7/sssd 컨테이너 이미지는 더 이상 기술 프리뷰 기능이 아닙니다. 이제 이미지가 완전히 지원됩니다. rhel7/ipa-server 컨테이너 이미지는 여전히 기술 프리뷰 기능입니다.

Identity Management에서 FIPS 지원

이번 개선된 기능을 통해 IdM(Identity Management)은 연방 정보 처리 표준(FIPS)을 지원합니다. 이를 통해 FIPS 기준을 충족해야 하는 환경에서 IdM을 실행할 수 있습니다. FIPS 모드가 활성화된 상태에서 IdM을 실행하려면 FIPS 모드가 활성화된 Red Hat Enterprise Linux 7.4를 사용하여 IdM 환경의 모든 서버를 설정해야 합니다.
다음을 수행할 수 없다는 점에 유의하십시오.
  • FIPS 모드가 비활성화된 상태로 이전에 설치된 기존 IdM 서버에서 FIPS 모드를 활성화합니다.
  • FIPS 모드가 비활성화된 기존 IdM 서버를 사용할 때 FIPS 모드에서 복제본을 설치합니다.

SSSD는 사용자가 스마트 카드로 인증할 때 Kerberos 티켓을 얻을 수 있도록 지원합니다.

SSSD(System Security Services Daemon)에서 Kerberos PKINIT 사전 인증 메커니즘을 지원합니다. IdM(Identity Management) 도메인에 등록된 데스크탑 클라이언트 시스템에 스마트 카드를 인증할 때 인증에 성공한 경우 유효한 Kerberos 티켓 생성 티켓(TGT)이 표시됩니다. 그런 다음 사용자는 클라이언트 시스템에서 추가 SSO(Single Sign-On) 인증을 위해 TGT를 사용할 수 있습니다.

SSSD를 사용하면 동일한 스마트 카드 인증서를 사용하여 다른 사용자 계정에 로그인할 수 있습니다.

이전에는 SSSD(System Security Services Daemon)에서 모든 인증서를 단일 사용자에게 고유하게 매핑해야 했습니다. 스마트 카드 인증을 사용할 때 여러 계정이 있는 사용자는 동일한 스마트 카드 인증서를 사용하여 이러한 모든 계정에 로그인할 수 없었습니다. 예를 들어 개인 계정을 보유한 사용자 및 기능 계정(예: 데이터베이스 관리자 계정)이 개인 계정에만 로그인할 수 있었습니다.
이번 업데이트를 통해 SSSD를 더 이상 단일 사용자에게 고유하게 매핑할 필요가 없습니다. 결과적으로 사용자는 단일 스마트 카드 인증서를 사용하여 다른 계정에 로그인할 수 있습니다.

IdM 웹 UI를 사용하면 스마트 카드 로그인 활성화

Identity Management 웹 UI를 사용하면 스마트 카드를 사용하여 로그인할 수 있습니다.

새 패키지: keycloak-httpd-client-install

keycloak-httpd-client-install 패키지는 Red Hat Single Sign-On(RH-SSO)으로 등록할 때 Apache httpd 인증 모듈의 구성을 자동화하고 단순화할 수 있는 다양한 라이브러리 및 툴을 제공합니다. Keycloak(Identity Provider) 클라이언트라고도 합니다.
RH-SSO에 대한 자세한 내용은 https://access.redhat.com/products/red-hat-single-sign-on 를 참조하십시오.
이번 업데이트의 일환으로 Red Hat Enterprise Linux에 새로운 종속 항목이 추가되었습니다.
  • python-requests-oauthlib 패키지: 이 패키지는 python-requests 패키지에 대한 OAuth 라이브러리 지원을 제공합니다. 이 라이브러리는 인증에 OAuth를 사용할 수 있습니다. python-requests
  • python-oauthlib 패키지: 이 패키지는 OAuth 인증 메시지 생성 및 사용을 제공하는 Python 라이브러리입니다. 메시지 전송을 제공하는 도구와 함께 사용됩니다. (BZ#1401781, BZ#1401783, BZ#1401784)

새로운 Kerberos 인증 정보 캐시 유형: KCM

이번 업데이트에서는 이름이 kcm 인 새 SSSD 서비스가 추가되었습니다. 서비스는 sssd-kcm 하위 패키지에 포함되어 있습니다.
kcm 서비스가 설치되면 KCM 이라는 새로운 인증 정보 캐시 유형을 사용하도록 Kerberos 라이브러리를 구성할 수 있습니다. KCM 인증 정보 캐시 유형이 구성된 경우 sssd-kcm 서비스는 인증 정보를 관리합니다.
컨테이너화된 환경에는 KCM 인증 정보 캐시 유형이 적합합니다.
  • KCM을 사용하면 kcm 서비스가 수신 대기하는 UNIX 소켓 마운트에 따라 필요에 따라 컨테이너 간에 인증 정보 캐시를 공유할 수 있습니다.
  • kcm 서비스는 RHEL이 기본적으로 사용하는 KEYRING 인증 정보 캐시 유형과 달리 커널 외부의 사용자 공간에서 실행됩니다. KCM을 사용하면 선택한 컨테이너에서만 kcm 서비스를 실행할 수 있습니다. KEYRING을 사용하면 모든 컨테이너가 커널을 공유하므로 인증 정보 캐시를 공유합니다.
또한 KCM 인증 정보 캐시 유형은 filesystem ccache 유형과 달리 캐시 컬렉션을 지원합니다.
자세한 내용은 sssd-kcm(8) 매뉴얼 페이지를 참조하십시오. (BZ#1396012)

AD 사용자가 웹 UI에 로그인하여 셀프 서비스 페이지에 액세스할 수 있습니다.

이전에는 AD(Active Directory) 사용자가 명령줄에서 kinit 유틸리티를 사용하여 인증할 수 있었습니다. 이번 업데이트를 통해 AD 사용자는 IdM(Identity Management) 웹 UI에 로그인할 수도 있습니다. IdM 관리자는 사용자가 로그인하기 전에 AD 사용자에 대한 ID 재정의를 생성해야 합니다.
따라서 AD 사용자는 IdM 웹 UI를 통해 셀프 서비스 페이지에 액세스할 수 있습니다. 셀프 서비스 페이지에 AD 사용자 ID 재정의의 정보가 표시됩니다.

SSSD를 사용하면 SSSD 서버 모드에서 AD 하위 도메인을 설정할 수 있습니다.

이전에는 SSSD(System Security Services Daemon)에서 신뢰할 수 있는 AD(Active Directory) 도메인을 자동으로 구성했습니다. 이번 업데이트를 통해 SSSD는 결합된 도메인과 동일한 방식으로 신뢰할 수 있는 AD 도메인의 특정 매개 변수 구성을 지원합니다.
결과적으로 SSSD가 통신하는 도메인 컨트롤러와 같은 신뢰할 수 있는 도메인에 대한 개별 설정을 설정할 수 있습니다. 이렇게 하려면 이 템플릿의 이름을 사용하여 /etc/sssd/sssd.conf 파일에 섹션을 만듭니다.
[domain/main_domain/trusted_domain]
예를 들어, 기본 IdM 도메인 이름이 ipa.com이고 신뢰할 수 있는 AD 도메인 이름이 ad.com인 경우 해당 섹션 이름은 다음과 같습니다.
[domain/ipa.com/ad.com]
(BZ#1214491)

SSSD는 AD 환경에서 짧은 이름으로 사용자 및 그룹 조회 및 인증을 지원합니다.

이전 버전에서는 SSSD(System Security Services Daemon)에서 도메인 구성 요소 없이 데몬을 독립 실행형 도메인에 조인된 경우에만 사용자 및 그룹 확인 및 인증이라는 짧은 이름이라는 사용자 이름을 지원했습니다. 이제 이러한 환경의 모든 SSSD 도메인에서 짧은 이름을 사용할 수 있습니다.
  • AD(Active Directory)에 연결된 클라이언트의 경우
  • AD forest와의 신뢰 관계가 있는 IdM(Identity Management) 배포
짧은 이름을 사용하는 경우에도 모든 명령의 출력 형식은 항상 완전히 정규화됩니다. 이 기능은 다음 방법 중 하나로 도메인 확인 순서 목록을 설정한 후 기본적으로 활성화됩니다(기본 설정 순서로 나열됨).
  • 로컬에서 /etc/sssd/sssd.conf 파일의 [sssd] 섹션에서 domain_resolution_order 옵션을 사용하여 목록을 구성합니다.
  • ID 보기 사용
  • 전역적으로 IdM 구성
기능을 비활성화하려면 /etc/sssd/sssd.conf 파일의 [domain/example.com] 섹션에서 use_fully_qualified_names 옵션을 True 로 설정합니다. (BZ#1330196)

SSSD는 UID 또는 FlexVolumes 없이 설정 시 사용자 및 그룹 해상도, 인증 및 권한 부여 지원

기존 SSSD(System Security Services Daemon) 배포에서는 POSIX 속성이 설정되거나 SSSD가 Windows SID(Security identifiers)를 기반으로 사용자와 그룹을 확인할 수 있습니다.
이번 업데이트를 통해 ID 공급자로 LDAP를 사용하는 설정에서 SSSD는 이제 LDAP 디렉터리에 UID 또는 InstallPlans가 없는 경우에도 다음과 같은 기능을 지원합니다.
  • D-Bus 인터페이스를 통한 사용자 및 그룹 확인
  • Pluga=< 인증 모듈 (PAM) 인터페이스 (BZ#1425891)를 통한 인증 및 권한 부여

SSSD에서는 ssctl user-checks 명령을 도입하여 단일 작업에서 기본 SSSD 기능을 확인합니다.

sssctl 유틸리티에는 이제 user-checks 라는 새 명령이 포함되어 있습니다. sssctl user-checks 명령은 SSSD(System Security Services Daemon)를 사용자 조회, 인증 및 권한 부여의 백엔드로 사용하는 애플리케이션의 문제를 디버깅하는 데 도움이 됩니다.
  • sssctl user-checks [USER_NAME] 명령은 NS(Name Service Switch) 및 D-Bus 인터페이스의 InfoPipe 응답자를 통해 사용 가능한 사용자 데이터를 표시합니다. 표시된 데이터는 사용자가 system-auth pluggable 인증 모듈(PAM) 서비스를 사용하여 로그인할 수 있는 권한이 있는지 여부를 표시합니다.
  • sssctl user-checks 에서 허용한 추가 옵션은 인증 또는 다른 PAM 서비스를 확인합니다.
sssctl user-checks 에 대한 자세한 내용은 sssctl user-checks --help 명령을 사용합니다. (BZ#1414023)

서비스로서 보안 지원

이번 업데이트에서는 SSSD(System Security Services Daemon)에 시크릿 이라는 응답자가 추가되었습니다. 이 응답기를 통해 애플리케이션은 Custodia API를 사용하여 UNIX 소켓을 통해 SSSD와 통신할 수 있습니다. 이를 통해 SSSD는 로컬 데이터베이스에 시크릿을 저장하거나 원격 Custodia 서버로 전달할 수 있습니다. (BZ#1311056)

IdM을 사용하면 외부 DNS 서버에서 IdM DNS 레코드의 반자동 업그레이드를 활성화합니다.

외부 DNS 서버의 IdM(Identity Management) DNS 레코드를 업데이트하기 위해 IdM에 ipa dns-update-system- records --dry-run --out [file] 명령이 도입되었습니다. 이 명령은 nsupdate 유틸리티에서 허용한 형식으로 레코드 목록을 생성합니다.
생성된 파일을 사용하여 TSIG(Transaction Signature) 프로토콜 또는 GSS(GSS-TSIG) 알고리즘으로 보호되는 표준 동적 DNS 업데이트 메커니즘을 사용하여 외부 DNS 서버의 레코드를 업데이트할 수 있습니다.

IdM에서 SHA-256 인증서 및 공개 키 지문 생성

이전에는 IdM(Identity Management)에서 인증서 및 공개 키의 지문을 생성할 때 MD5 해시 알고리즘을 사용했습니다. 보안 강화를 위해 IdM은 이제 언급한 시나리오에서 SHA-256 알고리즘을 사용합니다. (BZ#1444937)

IdM은 스마트 카드 인증서를 사용자 계정에 연결하기 위한 유연한 매핑 메커니즘 지원

이전에는 IdM(Identity Management)에서 특정 스마트 카드에 해당하는 사용자 계정을 찾을 수 있는 유일한 방법은 전체 스마트 카드 인증서를 Base64로 인코딩된 DER 문자열로 제공하는 것이었습니다. 이번 업데이트를 통해 인증서 문자열 자체뿐만 아니라 스마트 카드 인증서의 속성을 지정하여 사용자 계정을 찾을 수 있습니다. 예를 들어 관리자는 일치 및 매핑 규칙을 정의하여 특정 CA(인증 기관)에서 발급한 스마트 카드 인증서를 IdM의 사용자 계정에 연결할 수 있습니다.

새로운 사용자 공간 도구를 사용하면 더 편리한 LMDB 디버깅을 사용할 수 있습니다.

이번 업데이트에서는 mdb_copy,mdb_dump,mdb_load, mdb_stat 툴을 /usr/libexec/openldap/ 디렉터리에 도입합니다. 또한 man/man1 하위 디렉터리에 있는 관련 도움말 페이지가 포함되어 있습니다. 새로운 툴은 Lightning Memory-Mapped Database(LMDB) 백엔드와 관련된 문제를 디버깅하는 데만 사용합니다. (BZ#1428740)

openldap 버전 2.4.44로 다시 시작

openldap 패키지가 업스트림 버전 2.4.44로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 특히 이 새 버전에서는 많은 복제 및 Lightning Memory-Mapped Database(LMDB) 버그가 수정되었습니다. (BZ#1386365)

ID 관리에서 DNS 조회 보안 및 서비스 주체 조회 기능 개선

Kerberos 클라이언트 라이브러리는 티켓 생성 서버(TGS) 요청을 발행할 때 더 이상 호스트 이름을 표준화하지 않습니다. 이 기능은 다음과 같은 이점을 제공합니다.
  • 보안은 이전에 표준화 중 이전에 필요한 DNS 조회가 더 이상 수행되지 않기 때문에 보안을 유지하지 않습니다.
  • 클라우드 또는 컨테이너화된 애플리케이션과 같은 더 복잡한 DNS 환경에서 서비스 주체 조회성
호스트 및 서비스 주체에서 올바른 FQDN(정규화된 도메인 이름)을 지정해야 합니다. 이러한 동작 변경으로 인해 Kerberos는 보안 주체의 다른 유형의 이름(예: 짧은 이름)을 해결하려고 시도하지 않습니다. (BZ#1404750)

samba 버전 4.6.2로 업데이트

samba 패키지는 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공하는 버전 4.6.2로 업그레이드되었습니다.
  • Samba는 이제 winbindd 서비스가 시작되기 전에 ID 매핑 구성을 확인합니다. 구성이 유효하지 않으면 winbindd 가 시작되지 않습니다. testparm 유틸리티를 사용하여 /etc/hiera/hiera.conf 파일을 확인합니다. 자세한 내용은1.8.0 .conf 매뉴얼 페이지의 RuntimeClass MAPPING CONSIDERATIONS 섹션을 참조하십시오.
  • 이제 Windows 10에서 프린터 드라이버를 업로드하는 것이 올바르게 작동합니다.
  • 이전에는 RuntimeClass 서버 동적 포트 범위 매개 변수의 기본값은 1024-1300 이었습니다. 이번 업데이트에서는 기본값이 49152-65535 로 변경되었으며 이제 Windows Server 2008 이상에서 사용되는 범위와 일치합니다. 필요한 경우 방화벽 규칙을 업데이트합니다.
  • net advertising unregister 명령은 이제 도메인을 나가면 Active Directory DNS 영역에서 호스트의 DNS 항목을 삭제할 수 있습니다.
  • 이제 xfs 2 리스 매개변수에서 SMB 2.1 리스가 기본적으로 활성화됩니다. SMB는 클라이언트가 적극적으로 파일을 캐시할 수 있도록 지원합니다.
  • 보안을 강화하기 위해 NT LAN 관리자 버전 1(NTLMv1) 프로토콜은 기본적으로 비활성화되어 있습니다. 비보안 RuntimeClassv1 프로토콜이 필요한 경우 /etc/hiera/hiera.conf 파일의 ntlm auth 매개변수를 yes 로 설정합니다.
  • 이벤트 하위 명령이 이벤트 스크립트와 상호 작용하기 위해 ctdb 유틸리티에 추가되었습니다.
  • idmap_hash ID 매핑 백엔드는 더 이상 사용되지 않는 것으로 표시되고 향후 Samba 버전에서 제거됩니다.
  • 더 이상 사용되지 않는 사용자와 사용자 이름 매개변수만 제거되었습니다.
Samba는 LABELd ,nmbd 또는 winbind 데몬이 시작될 때 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.
주요 변경 사항에 대한 자세한 내용은 업데이트 전에 업스트림 릴리스 노트를 참조하십시오. (BZ#1391954)

authconfig 를 사용하면 SSSD 에서 스마트 카드로 사용자를 인증할 수 있습니다.

이 새로운 기능을 통해 authconfig 명령은 SSSD(System Security Services Daemon)를 구성하여 스마트 카드로 사용자를 인증할 수 있습니다.
# authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall
이번 업데이트를 통해 이제 pam_pkcs11 이 설치되지 않은 시스템에서 스마트 카드 인증을 수행할 수 있습니다. 그러나 pam_pkcs11 이 설치된 경우 --smartcardmodule=sssd 옵션이 무시됩니다. 대신 /etc/pam_pkcs11/pam_pkcs11.conf 에 정의된 첫 번째 pkcs11_module이 기본값으로 사용됩니다.

authconfig 를 사용하여 계정 잠금을 활성화할 수 있습니다.

이번 업데이트에서는 authconfig 명령에 --enable octets 옵션이 추가되었습니다. 옵션을 활성화하면 15분 간격 내에 4번 연속 로그인 시도에 실패한 로그인 시도 후 20분 동안 구성된 계정이 잠깁니다. (BZ#1334449)

IdM 서버 성능 개선

IdM(Identity Management) 서버는 많은 공통 워크플로우 및 설정에서 성능이 향상되었습니다. 이러한 개선 사항은 다음과 같습니다.
  • IdM 서버 관리 프레임워크 내 왕복을 줄임으로써 Vault 성능이 향상되었습니다.
  • IdM 서버 관리 프레임워크가 내부 통신 및 인증에 소요되는 시간을 단축하도록 조정되었습니다.
  • Directory Server 연결 관리는 nunc-stans 프레임워크를 사용하여 보다 확장 가능합니다.
  • 새로운 설치에서 Directory Server는 이제 서버의 하드웨어 리소스에 따라 데이터베이스 항목 캐시 및 스레드 수를 자동으로 조정합니다.
  • 대용량 또는 중첩 그룹으로 작업할 때 memberOf 플러그인 성능이 향상되었습니다. (BZ#1395940, BZ#1425906, BZ#1400653)

IdM 웹 UI의 기본 세션 만료 기간이 변경되었습니다.

이전에는 사용자가 사용자 이름과 암호를 사용하여 IdM(Identity Management) 웹 UI에 로그인하면 웹 UI에서 20분 동안 비활성 후 자동으로 사용자를 기록했습니다. 이번 업데이트를 통해 기본 세션 길이는 로그인 작업 중에 얻은 Kerberos 티켓의 만료 기간과 동일합니다. 기본 세션 길이를 변경하려면 /etc/ipa/default.conf 파일에서 kinit_lifetime 옵션을 사용하고 httpd 서비스를 다시 시작합니다. (BZ#1459153)

dbmon.sh 스크립트는 인스턴스 이름을 사용하여 Directory Server 인스턴스에 연결합니다.

dbmon.sh 쉘 스크립트를 사용하면 Directory Server 데이터베이스 및 항목 캐시 사용을 모니터링할 수 있습니다. 이번 업데이트를 통해 스크립트는 더 이상 HOSTPORT 환경 변수를 사용하지 않습니다. 보안 바인딩을 지원하기 위해 스크립트에서 SERVID 환경 변수에서 Directory Server 인스턴스 이름을 읽고 이를 사용하여 서버에 보안 연결이 필요한 경우 호스트 이름, 포트 및 정보를 검색합니다. 예를 들어 slapd-localhost 인스턴스를 모니터링하려면 다음을 입력합니다.
SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh
(BZ#1394000)

Directory Server에서 SSHA_512 암호 스토리지 스키마를 기본값으로 사용합니다.

이전 버전에서는 Directory Server는 cn=config 항목의 passwordStorageSchemensslapd-rootpwstoragescheme 매개변수에 설정된 기본 암호 스토리지 체계로 약한160 비트 솔라이크(Secure hashed secure hash algorithm)를 사용했습니다. 보안을 강화하기 위해 두 매개 변수의 기본값이 강력한 512비트 SSHA 스키마(SSHA_512)로 변경되었습니다.
새 기본값이 사용됩니다.
  • 새 Directory Server 설치를 수행할 때
  • passwordStorageScheme 매개변수가 설정되지 않고 userPassword 속성에 저장된 암호를 업데이트하는 것입니다.
  • nsslapd-rootpwstoragescheme 매개변수가 설정되지 않고 nsslapd-rootpw 특성에 설정된 Directory Server 관리자 암호를 업데이트 중입니다. (BZ#1425907)

Directory Server에서 tcmalloc 메모리 allocator 사용

Red Hat Directory Server에서 tcmalloc 메모리 할당기를 사용합니다. 이전에 사용된 표준 glibc 할당기에는 더 많은 메모리가 필요했고, 경우에 따라 서버가 메모리가 부족해질 수 있었습니다. tcmalloc 메모리 할당기를 사용하면 Directory Server에서 더 적은 메모리가 필요하며 성능이 향상되었습니다. (BZ#1426275)

Directory Server에서 nunc-stans 프레임워크 사용

nunc-stans 이벤트 기반 프레임워크가 Directory Server에 통합되었습니다. 이전에는 Directory Server에 동시 들어오는 연결 수가 설정되었을 때 성능이 느려질 수 있었습니다. 이번 업데이트를 통해 서버는 성능 저하 없이 훨씬 더 많은 수의 연결을 처리할 수 있습니다. (BZ#1426278, BZ#1206301, BZ#1425906)

Directory Server memberOf 플러그인의 성능 개선

이전에는 대규모 또는 중첩된 그룹을 사용하여 작업할 때 플러그인 작업에 시간이 오래 걸릴 수 있었습니다. 이번 업데이트를 통해 Red Hat Directory Server memberOf 플러그인의 성능이 향상되었습니다. 결과적으로 memberOf 플러그인은 이제 그룹에서 사용자를 더 빠르게 추가하고 제거합니다. (BZ#1426283)

Directory Server에서 오류 로그 파일에 심각도 수준을 기록합니다.

Directory Server는 이제 /var/log/dirsrv/slapd-instance_name/errors 로그 파일에 심각도 수준을 기록합니다. 이전에는 오류 로그 파일에서 항목의 심각도를 구분하기 어려웠습니다. 이 향상된 기능을 통해 관리자는 심각도 수준을 사용하여 오류 로그를 필터링할 수 있습니다.
자세한 내용은 Red Hat Directory Server 구성, 명령 및 파일 참조의 해당 섹션을 참조하십시오. https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content (BZ#1426289)

Directory Server에서 PBKDF2_SHA256 암호 스토리지 스키마 지원

보안을 강화하기 위해 이 업데이트는 256비트 암호 기반 키 파생 기능 2(PBKDF2_SHA256)를 Directory Server에서 지원되는 암호 저장소 스키마 목록에 추가합니다. 이 스키마는 30,000회 반복을 사용하여 256비트 보안 해시 알고리즘(SHA256)을 적용합니다.
7.4 버전 이전의 Red Hat Enterprise Linux의 네트워크 보안 서비스(NSS) 데이터베이스는 PBKDF2를 지원하지 않습니다. 따라서 이전 Directory Server 버전의 복제 토폴로지에서는 이 암호 스키마를 사용할 수 없습니다. (BZ#1436973)

Directory Server의 자동 조정 지원 개선

이전에는 데이터베이스를 모니터링하고 설정을 수동으로 튜닝하여 성능을 개선해야 했습니다. 이번 업데이트를 통해 Directory Server는 다음 사항에 맞게 최적화된 자동 조정 기능을 지원합니다.
  • 데이터베이스 및 항목 캐시
  • 생성된 스레드 수
Directory Server는 서버의 하드웨어 리소스에 따라 이러한 설정을 조정합니다.
새 Directory Server 인스턴스를 설치하는 경우 자동 조정이 기본적으로 자동으로 활성화됩니다. 이전 버전에서 업그레이드한 인스턴스에서는 자동 튜닝을 활성화하는 것이 좋습니다. 자세한 내용은 다음을 참조하십시오.

새로운 PKI 구성 매개변수를 사용하면 TCP keepalive 옵션을 제어할 수 있습니다.

이번 업데이트에서는 tcp.keepAlive 매개변수가 CS.cfg 구성 파일에 추가되었습니다. 이 매개변수는 부울 값을 허용하며 기본적으로 true 로 설정됩니다. PKI 하위 시스템에서 생성한 모든 LDAP 연결에 대한 TCP keepalive 옵션을 구성하려면 이 매개변수를 사용합니다. 이 옵션은 인증서 발급이 매우 오랜 시간이 걸리는 경우 유용하며 너무 오래 유휴 상태가 된 후 연결이 자동으로 닫힙니다. (BZ#1413132)

PKI 서버에서 강력한 암호화를 사용하여 PKCS #12 파일을 생성

PKCS #12 파일을 생성할 때 이전에는 PKCS #12에서 더 이상 사용되지 않는 키 파생 기능(KDF) 및 트리플 DES(3DES) 알고리즘을 사용했습니다. 이번 업데이트를 통해 이제 명령에서 암호 기반 암호화 표준 2(PBES2) 스키마를 암호 기반 키 파생 함수 2(PBKDF2)와 함께 사용하고 Advanced Encryption Standard(AES) 알고리즘을 사용하여 개인 키를 암호화합니다. 결과적으로 이러한 기능 향상을 통해 보안이 강화되고 Common criteria 인증 요구 사항을 준수할 수 있습니다. (BZ#1426754)

암호화 작업에 사용할 수 있는 CC 호환 알고리즘

공통 기준은 승인된 알고리즘을 사용하여 암호화 및 키 줄 바꿈 작업을 수행해야 합니다. 이러한 알고리즘은 인증 기관의 보호 프로파일의 FCS_COP.1.1(1) 섹션에 명시되어 있습니다. 이번 업데이트에서는 KRA의 암호화 및 암호 해독을 수정하여 승인된 AES 암호화를 사용하고 보안 및 키의 전송 및 저장 알고리즘을 래핑합니다. 이번 업데이트에서는 서버 및 클라이언트 소프트웨어 변경 사항이 필요합니다. (BZ#1445535)

TPS 인터페이스에서 메뉴 항목의 가시성을 구성할 수 있는 새로운 옵션

이전에는 TPS( Token Processing System ) 사용자 인터페이스의 시스템 메뉴에 그룹화된 메뉴 항목이 사용자 역할에 따라 정적으로 결정되었습니다. 특정 상황에서는 표시된 메뉴 항목이 사용자가 실제로 액세스할 수 있는 구성 요소와 일치하지 않았습니다. 이번 업데이트를 통해 TPS 사용자 인터페이스의 시스템 메뉴에는 TPS 관리자의 target.configure.list 매개 변수 및 TPS 에이전트의 target.agent_approve.list 매개 변수만 표시됩니다. 이러한 매개변수는 액세스 가능한 구성 요소와 일치하도록 인스턴스 CS.cfg 파일에서 수정할 수 있습니다. (BZ#1391737)

주체 일반 이름 확장에 인증서 주체 일반 이름을 복사하는 프로필 구성 요소 추가

일부 TLS 라이브러리는 DNS 이름이 주체 일반 이름(CN) 필드에만 표시될 때 DNS 이름 확인에 대해 경고하거나 거부하고, 이는 RFC 2818에서 더 이상 사용되지 않는 관행입니다. 이번 업데이트에서는 제목 Common Name을 SAN(Subject Alternative Name) 확장에 복사하고 인증서가 현재 표준을 준수하도록 하는 CommonNameToSANDefault 프로필 구성 요소가 추가되었습니다. (BZ#1305993)

LDIF 가져오기 전에 LDAP 항목을 제거하는 새로운 옵션

CA를 마이그레이션할 때 LDIF 가져오기 전에 LDAP 항목이 존재하면 LDAP 가져오기에서 항목이 다시 생성되지 않아 일부 필드가 누락됩니다. 결과적으로 요청 ID가 정의되지 않은 것으로 표시되었습니다. 이번 업데이트에서는 pkispawn 프로세스 끝에 서명 인증서에 대한 LDAP 항목을 제거하는 옵션이 추가되었습니다. 이 항목은 이후 LDIF 가져오기에 다시 생성됩니다. 이제 서명 항목이 제거되고 LDIF 가져오기에 다시 추가되면 요청 ID 및 기타 필드가 올바르게 표시됩니다. 추가할 올바른 매개변수는 (X) 가져오는 서명 인증서의 일련번호를 10진수로 나타냅니다.
pki_ca_signing_record_create=False
pki_ca_signing_serial_number=X
(BZ#1409946)

인증서 시스템에서 외부 인증 사용자를 지원

이전에는 인증서 시스템에서 사용자 및 역할을 생성해야 했습니다. 이번 개선된 기능을 통해 외부 ID 공급자가 인증된 사용자를 허용하도록 인증서 시스템을 구성할 수 있습니다. 또한 영역별 권한 부여 ACL(액세스 제어 목록)을 사용할 수 있습니다. 결과적으로 더 이상 인증서 시스템에서 사용자를 만들 필요가 없습니다. (BZ#1303683)

인증서 시스템에서 인증서 및 CRL 게시 활성화 및 비활성화 지원

이번 업데이트 이전에는 CA(인증 기관)에서 게시가 활성화된 경우 인증서 시스템에서는 CRL(인증서 취소 목록) 및 인증서 게시를 자동으로 활성화했습니다. 결과적으로 인증서 게시가 활성화되지 않은 서버에서 오류 메시지가 기록되었습니다. 인증서 시스템이 향상되었으며 이제 /var/lib/pki/<instance>/ca/conf/CS.cfg 파일에서 독립적으로 인증서 및 CRL 게시를 지원하고 있습니다.
인증서 및 CRL 게시를 모두 활성화하거나 비활성화하려면 다음을 설정합니다.
ca.publish.enable = True|False
CRL 게시만 활성화하려면 다음을 설정합니다.
ca.publish.enable = True
ca.publish.cert.enable = False
인증서 게시만 활성화하려면 다음을 설정합니다.
ca.publish.enable = True
ca.publish.crl.enable = False
(BZ#1325071)

searchBase 구성 옵션이 DirAclAuthz PKI 서버 플러그인에 추가되었습니다.

다양한 권한 부여 ACL(액세스 제어 목록) 읽기를 지원하기 위해 searchBase 구성 옵션이 DirAclAuthz PKI Server 플러그인에 추가되었습니다. 결과적으로 플러그인이 ACL을 로드하는 하위 트리를 설정할 수 있습니다. (BZ#1388622)

성능 향상을 위해 인증서 시스템에서 이제 임시 지원

이번 업데이트 이전에는 KRA(인증서 시스템 키 복구 에이전트) 인스턴스는 항상 LDAP 백엔드에 시크릿의 복구 및 스토리지 요청을 저장합니다. 여러 에이전트가 요청을 승인해야 하는 경우 상태를 저장하는 데 필요합니다. 그러나 요청이 즉시 처리되고 하나의 에이전트만 요청을 승인해야 하는 경우 상태를 저장할 필요가 없습니다. 성능을 개선하기 위해 이제 /var/lib/pki/<instance>/kra/conf/CS.cfg 파일에서 kra. ephemeralRequests=true 옵션을 설정하여 더 이상 LDAP 백엔드에 요청을 저장하지 않도록 할 수 있습니다. (BZ#1392068)

PKI 배포 구성 파일의 섹션 헤더는 더 이상 대소문자를 구분하지 않습니다.

PKI 배포 구성 파일의 섹션 헤더(예: [Tomcat])는 이전에는 대소문자를 구분하지 않았습니다. 이 동작은 어떠한 이점도 제공하지 않는 동안 오류 발생 가능성을 높였습니다. 이번 릴리스부터 구성 파일의 섹션 헤더는 대소문자를 구분하지 않으므로 오류가 발생할 가능성이 줄어듭니다. (BZ#1447144)

인증서 시스템에서 FIPS 지원 Red Hat Enterprise Linux에서 HSM을 사용하여 CA 설치를 지원합니다.

CA(Certificate System Certificate Authority) 인스턴스를 설치하는 동안 설치 프로그램에서 인스턴스를 다시 시작해야 합니다. 이 재시작 중에 FIPS(Federal Information Processing Standard) 모드가 활성화되어 있고 HSM(하드웨어 보안 모듈)을 사용하는 운영 체제의 인스턴스는 HTTPS 포트 대신 비보안 HTTP 포트에 연결해야 합니다. 이번 업데이트를 통해 HSM을 사용하여 FIPS 지원 Red Hat Enterprise Linux에 Certificate System 인스턴스를 설치할 수 있습니다. (BZ#1450143)

CMC 요청은 이제 AES 및 3DES 암호화에 임의의 IV를 사용합니다.

이번 업데이트를 통해 PKI(Certificate Management over CMS) 요청에서는 보관할 키를 암호화할 때 임의로 생성된 초기화 벡터(IV)를 사용합니다. 이전에는 클라이언트 및 서버 코드에서 이 시나리오에서 고정 IV를 사용했습니다. CMC 클라이언트 코드가 향상되었으며 결과적으로 Advanced Encryption Standard (AES) 및 Triple Data Encryption Algorithm (3DES)에 대한 암호화를 수행할 때 임의의 IV를 사용하면 보안을 강화합니다. (BZ#1458055)