Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

25장. 인증 및 상호 운용성

Directory Server에서 NSS에서 지원하는 모든 암호를 사용한 인증서 지원

Directory Server의 제한으로 인해 관리자는 RSA 및 Fortezza 암호만 사용할 수 있습니다. 그 결과 ECC 인증서와 같은 다른 암호를 사용하여 생성된 인증서가 지원되지 않았습니다. 이번 업데이트에서는 이 제한을 제거합니다. 결과적으로 관리자는 Directory Server에서 TLS를 구성할 때 기본 NSS(Network Security Services) 데이터베이스에서 지원하는 모든 암호와 인증서를 사용할 수 있습니다. (BZ#1582747)

Directory Server가 CSN을 올바르게 생성

Directory Server 복제 토폴로지에서는 타임스탬프를 기반으로 하는 CSN(변경 시퀀스 번호)을 사용하여 업데이트를 관리합니다. 새로운 CSN은 복제본 업데이트 벡터(RUV)에서 가장 높은 CSN보다 커야 합니다. 서버가 가장 최근의 CSN과 동일한 초에 새로운 CSN을 생성하는 경우 시퀀스 번호가 증가하여 높은 것으로 확인됩니다. 그러나 최신 CSN과 새 CSN이 동일하면 시퀀스 번호가 증가하지 않았습니다. 이 경우 새 CSN은 가장 최근의 ID와 동일하게 복제본 ID를 제외하고이었습니다. 그 결과 디렉터리의 새 업데이트가 최신 업데이트보다 오래된 경우도 있었습니다. 이번 업데이트를 통해 시퀀스 번호가 가장 최근과 같거나 같으면 Directory Server에서 CSN을 늘립니다. 결과적으로 새로운 업데이트는 더 이상 최신 데이터보다 오래된 것으로 간주되지 않습니다. (BZ#1559945)

client-cert-request 유틸리티가 더 이상 ECC 인증서에 대한 CSR을 생성하지 못합니다.

이전에는 Certificate System의 client-cert-request 유틸리티의 generatePkcs10Request 메서드에서 curve 및 length 매개변수를 매핑하지 못했습니다. 결과적으로 이 유틸리티는 ECC(Elliptic Curve Cryptography) 인증서에 대한 CSR(인증서 서명 요청)을 생성하지 못했습니다. 이 문제가 해결되었습니다. 그 결과 ECC 인증서에 대한 CSR을 생성하는 데 client-cert-request 를 사용하는 것이 예상대로 작동합니다. (BZ#1549632)

pkiconsole 유틸리티에서 더 이상 빈 표현식을 사용하여 ACL을 허용하지 않음

인증서 시스템 서버에서 잘못된 ACL(액세스 제어 목록) 저장을 거부합니다. 그 결과 빈 표현식을 사용하여 ACL을 저장할 때 서버에서 업데이트를 거부하고 pkiconsole 유틸리티에 StringIndexOutOfBoundsException 오류가 표시되었습니다. 이번 업데이트를 통해 유틸리티는 빈 ACL 표현식을 거부합니다. 결과적으로 유효하지 않은 ACL을 저장할 수 없으며 더 이상 오류가 표시되지 않습니다. (BZ#1546708)

ECC 키를 사용한 CMC InstallPlanF 요청이 올바르게 작동합니다.

이전 버전에서는 확인 중에 CMC 인증서 요청 메시지 형식(CRMF) 요청에서 ECC 공개 키를 잘못 인코딩했습니다. 그 결과 CloudEventF에서 CMC(Certificate Management over CMS)가 포함된 ECC 인증서를 요청하는 데 실패했습니다. 이 문제는 해결되었으며 결과적으로 ECC 키를 사용하는 CMC InstallPlanF 요청이 예상대로 작동합니다. (BZ#1580394)

ECC 키를 사용하여 인증서 시스템 하위 시스템을 설치할 때 더 이상 실패하지 않음

이전 버전에서는 인증서 시스템 설치 절차의 버그로 인해 ECC 키를 사용하여 KRA(Key Matrix Authority)를 설치할 수 없었습니다. 문제를 해결하기 위해 RSA 및 ECC 하위 시스템을 모두 자동으로 처리하도록 설치 프로세스가 업데이트되었습니다. 결과적으로 ECC 키를 사용하여 하위 시스템을 설치하는 데 더 이상 실패하지 않습니다. (BZ#1568615)

Directory Server 클라이언트는 더 이상 익명 리소스 제한으로 무작위로 제한되지 않습니다.

이전에는 첫 번째 작업, 바인딩 또는 연결이 시작된 시기를 Directory Server에서 인식하지 못했습니다. 결과적으로 특정 상황에서 익명 리소스가 인증된 클라이언트에 제한됩니다. 이번 업데이트를 통해 Directory Server는 인증된 클라이언트 연결을 올바르게 표시합니다. 결과적으로 올바른 리소스 제한을 적용하고 인증된 클라이언트는 더 이상 익명 리소스 제한에 따라 무작위로 제한되지 않습니다. (BZ#1515190)

Directory Server의 스레드 처리가 직렬화됨

들어오는 복제 세션에서는 이전 작업이 완료된 경우에만 복제 작업을 처리해야 합니다. 특정 상황에서 시작 세션 작업을 처리하는 스레드는 복제된 작업을 계속 읽고 처리합니다. 결과적으로 상위 항목이 추가되기 전에 완료된 하위 추가 작업과 같은 불일치를 초래하는 두 개의 복제 작업이 병렬로 실행되었습니다. 이번 업데이트를 통해 시작 세션 작업을 처리해도 일부 스레드가 읽기 버퍼에서 사용 가능한 경우에도 더 이상 추가 작업을 처리하지 않습니다. 그 결과 언급된 시나리오에서 불일치가 더 이상 발생하지 않습니다. (BZ#1552698)

Directory Server에서 memberOf 속성 삭제가 제대로 작동합니다.

관리자가 한 하위 트리에서 다른 하위 트리로 Directory Server의 그룹을 이동하는 경우 memberOf 플러그인은 이전 값을 사용하여 memberOf 속성을 삭제하고 영향을 받는 사용자 항목에서 새 그룹의 고유 이름(DN)을 사용하여 새 memberOf 속성을 추가합니다. 이전 버전에서는 이전 하위 트리가 memberOf 플러그인의 범위에 없는 경우 값이 존재하지 않아 이전 memberOf 속성을 삭제하는 데 실패했습니다. 그 결과 플러그인에서 새 memberOf 값을 추가하지 않았으며 사용자 항목에 잘못된 memberOf 값이 포함되었습니다. 이번 업데이트를 통해 이제 이전 값을 삭제할 때 플러그인에서 반환 코드를 확인합니다. 반환 코드가 해당 값이 없는 경우 플러그인은 새 memberOf 값만 추가합니다. 그 결과 memberOf 속성 정보가 정확합니다. (BZ#1551071)

PBKDF2_SHA256 암호 저장 스키마를 Directory Server에서 사용할 수 있음

Red Hat Directory Server 인스턴스가 버전 10.1.0 또는 이전 버전을 사용하여 설치된 경우 업데이트 스크립트에서 PBKDF2(암호 기반 키 분리 기능 버전 2) 플러그인을 활성화하지 않았습니다. 결과적으로 nsslapd-rootpwstorageschemepasswordStorageScheme 매개변수에서 PBKDF2_SHA256 암호 저장소 스키마를 사용할 수 없었습니다. 이번 업데이트에서는 플러그인을 자동으로 활성화합니다. 결과적으로 관리자는 PBKDF2_SHA256 암호 저장 스키마를 사용할 수 있습니다. (BZ#1576485)

활성 목록에서 연결을 제거할 때 Directory Server가 더 이상 충돌하지 않음

Directory Server는 활성 목록에서 설정된 연결을 관리합니다. 스레드가 닫히기 위한 연결에 플래그를 지정할 때 서버는 활성 목록에서 연결을 제거하기 위해 연결에 남아 있는 활성 스레드가 없을 때까지 기다립니다. 특정 상황에서는 활성 스레드 수가 실제 스레드 수보다 적습니다. 이 시나리오에서는 Directory Server가 활성 목록에서 연결을 이동하고 유효하지 않은 것으로 플래그를 지정합니다. 연결이 유효하지 않음을 감지하는 다른 나머지 스레드도 활성 목록에서 해당 연결을 제거하려고 시도합니다. 그러나 활성 목록에서 연결을 제거하는 코드는 연결에 유효한 목록 포인터가 있을 것으로 예상합니다. 연결이 활성 목록에 없기 때문에 포인터가 유효하지 않으면 디렉터리 서버가 예기치 않게 종료됩니다. 이번 업데이트를 통해 서버는 사용하기 전에 목록 포인터가 유효한지 확인합니다. 따라서 활성 목록에서 연결을 제거하려고 할 때 서버가 더 이상 충돌하지 않습니다. (BZ#1566444)

디스크 모니터링 기능이 디스크 여유 공간상의 Directory Server 종료

Directory Server가 오류 로그 수준을 설정하는 방식으로 인해 Directory Server의 Disk Monitoring 기능이 오류 로그 수준이 기본 수준으로 설정되어 있음을 탐지하지 못했습니다. 그 결과 파일 시스템이 가득 차면 Directory Server가 올바르게 종료되지 않았습니다. Disk Monitoring 기능이 오류 수준을 확인하는 방법입니다. 그 결과 디스크 공간이 부족하면 이제 Disk Monitoring이 서버가 종료되었습니다. (BZ#1568462)

directory 서버는 entrydn 속성에서 존재하지 않는 DN을 검색할 때 더 이상 경고를 기록하지 않습니다.

이전에는 entrydn 속성에 설정된 존재하지 않는 고유 이름(DN)을 검색하면 Directory Server가 오류 로그에 경고를 기록했습니다. 이번 업데이트를 통해 entrydn 속성이 일치하는 항목을 찾지 못하는 경우 서버가 상황을 올바르게 처리합니다. 결과적으로 서버는 더 이상 잘못된 경고를 기록하지 않습니다. (BZ#1570033)

CRYPT 암호 저장 스키마를 사용할 때 pwdhash 유틸리티가 더 이상 충돌하지 않음

이전에는 CRYPT 암호 스토리지 스키마를 사용하여 해시를 생성할 때 pwdhash 유틸리티에서 유효하지 않은 lock을 사용했습니다. 그 결과 pwdhash 가 세그먼트 오류와 함께 실패했습니다. 이번 업데이트를 통해 유틸리티는 잠금이 필요하지 않은 crypt() 함수의 재인입 양식을 사용합니다. 그 결과 CRYPT 암호 저장 스키마를 사용할 때 pwdhash 가 더 이상 충돌하지 않습니다. (BZ#1570649)

Directory Server Pass-through 플러그인에서 skopeo TLS 명령을 사용하여 암호화된 연결을 지원

이전 버전에서는 암호화가 10.0.0.1 TLS 명령을 사용하여 시작된 경우 Directory Server의 패스스루 플러그인 에서 암호화된 연결을 지원하지 않았습니다. 문제가 해결되었으며 Pass-through 플러그인은 이제 CloudEvent TLS 명령을 사용하는 연결을 지원합니다. (BZ#1581737)

업데이트 시 체인이 활성화된 경우 암호 정책 기능 사용이 올바르게 작동합니다.

Directory Server 읽기 전용 소비자에서는 암호를 변경해야 하는 사용자를 표시하는 플래그가 연결 자체에 설정되므로 비밀번호 재설정 정책 설정이 적용되지 않았습니다. 이 설정이 업데이트 기능에서 체인 과 함께 사용된 경우 플래그가 손실되었습니다. 그 결과 암호 정책 기능이 작동하지 않았습니다. 이번 업데이트를 통해 서버는 업데이트 연결 시 체인에 플래그를 올바르게 설정합니다. 결과적으로 암호 정책 기능이 올바르게 작동합니다. (BZ#1582092)

Directory Server에서 세분화된 암호 정책이 활성화되면 성능 향상

검색이 shadowAccount 항목을 평가하면 Directory Server에서 해당 항목에 shadow 특성을 추가합니다. 세분화된 암호 정책이 활성화된 경우 shadowAccount 항목에 자체 pwdpolicysubentry 정책 속성이 포함될 수 있습니다. 이전 버전에서는 이 속성을 검색하기 위해 서버에서 각 shadowAccount 항목에 대한 내부 검색을 시작했으며 서버에 대한 항목이 이미 알려졌기 때문에 필요하지 않았습니다. 이번 업데이트를 통해 디렉터리 서버는 항목을 알 수 없는 경우에만 내부 검색을 시작합니다. 결과적으로 응답 시간 및 처리량과 같은 검색 성능이 향상됩니다. (BZ#1593807)

Directory Server에서 첫 번째 세션이 시작될 때 복제본 바인딩 DN 그룹의 멤버 검색

디렉터리 서버 복제본은 업데이트를 복제본 자체에 복제할 수 있는 권한이 있는 항목을 정의합니다. 항목이 nsds5replicabinddngroup 속성에 설정된 그룹의 멤버인 경우 nsDS5ReplicaBindDnGroupCheckInterval 속성에 설정된 간격에 따라 그룹이 주기적으로 검색됩니다. 항목이 그룹을 검색할 때 멤버가 아닌 경우 이 항목을 사용하여 인증된 모든 세션은 업데이트를 복제할 수 있는 권한이 없습니다. 이 동작은 항목이 그룹의 멤버가 되고 서버에서 그룹을 다시 검색할 때까지 유지됩니다. 결과적으로 nsDS5ReplicaBindDnGroupCheckInterval 에서 첫 번째 간격에 대한 복제가 실패합니다. 이번 업데이트를 통해 서버는 복제본을 생성할 때보다 첫 번째 세션이 시작될 때 그룹을 검색합니다. 그 결과, 그룹은 첫 번째 시도에서 확인됩니다. (BZ#1598478)

이름이 default 인 Directory Server 백엔드 생성이 지원됩니다.

이전에는 default 이름이 Directory Server에서 예약되었습니다. 그 결과 default 라는 백엔드를 생성할 수 없었습니다. 이번 업데이트를 통해 Directory Server는 더 이상 이 이름을 예약하지 않으며 관리자는 default 라는 백엔드를 생성할 수 있습니다. (BZ#1598718)

업데이트된 Directory Server SNMPMIB 정의

이전에는 389-ds-base 패키지에서 제공하는 SNMP(Simple Network Management Protocol) Management Information Base(MIB) 정의가 RFC 2578에 정의된 SMIv2(Management Information Version 2)를 준수하지 않았습니다. 그 결과 lint 유틸리티에서 오류를 보고했습니다. 이제 정의가 업데이트되었으며, 그 결과MIB 정의에서 SMIv2 사양(BZ#1525256)을 따릅니다.

이제 SELinux 를 비활성화한 상태에서 RPC .yppasswdd 도 암호를 업데이트합니다.

이전 버전에서는 시스템에서 SELinux 보안 모듈이 비활성화되었을 때 update 작업을 수행하지 못했습니다. 그 결과 사용자 암호를 업데이트할 수 없었습니다. 이번 업데이트를 통해 passwd 파일의 SELinux 컨텍스트 유형을 감지하기 전에 시스템에서 SELinux 가 활성화되어 있는지 확인합니다. 그 결과, 이제 windows.yppasswdd 가 설명된 시나리오에서 암호를 올바르게 업데이트합니다. (BZ#1492892)

nsslapd-enable-nunc-stans 매개변수의 기본값이 off로 변경되었습니다.

이전에는 Directory Server에서 nucn-stans 프레임워크가 기본적으로 활성화되어 있었지만 프레임워크가 안정적이지 않았습니다. 결과적으로 교착 상태 및 파일 설명자 유출이 발생할 수 있었습니다. 이번 업데이트에서는 nsslapd-enable-nunc-stans 매개변수의 기본값을 off 로 변경합니다. 그 결과 이제 Directory Server가 안정적입니다. (BZ#1614501)