Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

51장. 인증 및 상호 운용성

IdM 마스터가 RHEL 6에서 실행되는 경우 RHEL 7.6에 IdM 복제본 설치가 실패합니다.

pki-core 패키지가 최근 업데이트되면 IdM(Identity Management) 인증 기관(CA)에서 특정 암호가 더 이상 기본적으로 활성화되어 있지 않습니다. 그 결과 RHEL 6에서 실행되는 마스터 복제본으로 RHEL 7.6에 통합된 CA가 있는 IdM 서버를 설정하면 CRITICAL로 CA 인스턴스 오류를 구성하지 못했습니다. 이 문제를 해결하려면 /etc/httpd/conf.d/nss.conf 파일의 NSSCipherSuite 매개변수 끝에 다음 항목을 추가합니다. 
+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_sha
결과적으로 RHEL 7.6에 IdM 설치에 더 이상 실패하지 않습니다. RHEL 7.6에 CA가 없는 IdM 복제본을 설치하면 이 해결 방법 없이도 예상대로 작동합니다. (BZ#1667434)

RADIUS 프록시 기능은 FIPS 모드에서 실행되는 IdM에서도 사용 가능

FIPS 모드에서 OpenSSL은 기본적으로 MD5 다이제스트 알고리즘 사용을 비활성화합니다. 따라서 RADIUS 프로토콜을 사용하려면 RADIUS 클라이언트와 RADIUS 서버 간의 시크릿을 암호화하는 MD5가 필요하므로 FIPS 모드에서 MD5를 사용할 수 없으므로 RHEL IdM(Identity Management) RADIUS 프록시 서버가 실패합니다.
RADIUS 서버가 IdM 마스터와 동일한 호스트에서 실행중인 경우 문제를 해결하고 보안 문제 내에서 MD5를 활성화할 수 있습니다.
이렇게 하려면 다음 콘텐츠를 사용하여 /etc/systemd/system/radiusd.service.d/ipa-otp.conf 파일을 생성합니다. 
# /etc/systemd/system/radiusd.service.d/ipa-otp.conf
[Service]
Environment=OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW=1
변경 사항을 적용하려면 systemd 구성을 다시 로드합니다. 
# systemctl daemon-reload
그리고 radio usd 서비스를 시작합니다. 
# systemctl start radiusd
RADIUS 프록시를 구성하려면 클라이언트와 서버 간 공통 시크릿을 사용하여 인증 정보를 래핑해야 합니다. CLI(명령줄 인터페이스) 또는 웹 UI를 사용하여 RHEL IdM의 RADIUS 프록시 구성에서 이 시크릿을 지정합니다. CLI에서 이를 수행하려면 다음을 수행합니다. 
# ipa radiusproxy-add name_of_your_proxy_server --secret your_secret
(BZ#1571754)

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 위험이 있습니다.

ID 조회에 TLS 없이 ldap:// 를 사용하는 경우 공격 벡터가 발생할 수 있습니다. 특히 MITTM(man-in-the-middle) 공격으로 공격자가 LDAP 검색에서 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 SSSD 구성 옵션은 TLS, ldap_id_use_start_tls 를 적용하여 기본적으로 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하는지 확인하고 id_provider = ldap 에 암호화되지 않은 통신을 사용하는 것이 안전한지 확인합니다. 참고 id_provider = adid_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하지 않는 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 향후 RHEL 릴리스에서 변경될 예정입니다.
(JIRA:RHELPLAN-155168)