5.4.11. IdM (Identity Management)
dsctl 유틸리티가 하이픈 이름으로 더 이상 인스턴스를 관리하지 못합니다.
이전에는 dsctl 유틸리티가 Directory Server 인스턴스 이름에서 하이픈을 올바르게 구문 분석하지 않았습니다. 결과적으로 관리자는 dsctl 을 사용하여 이름으로 하이픈으로 인스턴스를 관리할 수 없었습니다. 이번 업데이트에서는 문제가 해결되어 이제 dsctl 이 언급된 시나리오에서 예상대로 작동합니다.
Directory Server 인스턴스 이름은 이제 최대 103자를 가질 수 있습니다.
LDAP 클라이언트가 Directory Server에 대한 연결을 설정하면 서버는 로컬 버퍼에 클라이언트 주소와 관련된 정보를 저장합니다. 이전에는 이 버퍼의 크기가 46자보다 긴 LDAPI 경로 이름을 저장하기에 너무 작았습니다. 예를 들어 Directory Server 인스턴스의 이름이 너무 긴 경우입니다. 결과적으로 버퍼 오버플로로 인해 서버가 예기치 않게 종료되었습니다. 이번 업데이트에서는 NSPR(Netscape Portable Runtime) 라이브러리에서 경로 이름에 대해 지원하는 최대 크기까지 버퍼 크기가 증가합니다. 결과적으로 Directory Server가 더 이상 충돌하지 않습니다.
NSPR 라이브러리의 제한으로 인해 인스턴스 이름은 최대 103자일 수 있습니다.
pkidestroy 유틸리티에서 올바른 인스턴스를 선택
이전 버전에서는 pkidestroy --force 명령을 반 삭제 인스턴스에서 실행한 경우 -i 인스턴스 옵션으로 지정된 인스턴스 이름에 관계없이 기본적으로 선택했습니다.
pki-tomcat 인스턴스를
결과적으로 원하는 인스턴스 대신 pki-tomcat 인스턴스가 제거되어 --remove-logs 옵션이 의도한 인스턴스의 로그를 제거하지 않았습니다. pkidestroy 는 이제 올바른 인스턴스 이름을 적용하여 원하는 인스턴스의 남은 작업만 제거합니다.
sssd-ldap 도움말 페이지에서 ldap_user_authorized_service 설명이 업데이트되었습니다.
RHEL 8에서는 PAM(Pluggable Authentication Module) 스택이 변경되었습니다. 예를 들어 systemd 사용자 세션은 이제 systemd-user PAM 서비스를 사용하여 PAM 대화를 시작합니다. 이제 이 서비스에는 pam_sss.so 인터페이스가 포함될 수 있는 system-auth PAM 서비스가 재귀적으로 포함됩니다. 즉, SSSD 액세스 제어는 항상 호출됩니다.
RHEL 8 시스템에 대한 액세스 제어 규칙을 설계할 때 이러한 변경 사항을 알고 있어야 합니다. 예를 들어 systemd-user 서비스를 허용된 서비스 목록에 추가할 수 있습니다.
IPA HBAC 또는 AD GPO와 같은 일부 액세스 제어 메커니즘의 경우 systemd-user 서비스가 기본적으로 허용된 서비스 목록에 추가되어 작업을 수행할 필요가 없습니다.
이 정보를 포함하도록 sssd-ldap 도움말 페이지가 업데이트되었습니다.
IdM에서 AD 신뢰 지원을 활성화하면 필수 DNS 레코드에 대한 정보가 표시됩니다.
이전 버전에서는 외부 DNS 관리를 통한 Red Hat Enterprise Linux IdM(Identity Management) 설치에 대한 AD(Active Directory) 신뢰 지원을 활성화할 때 필수 DNS 레코드에 대한 정보가 표시되지 않았습니다. 수동으로 ipa dns-update-system-records --dry-run 명령을 입력하는 것은 IdM에 필요한 모든 DNS 레코드 목록을 가져오는 것이 바람직했습니다.
이번 업데이트를 통해 ipa-adtrust-install 명령은 DNS 영역에 수동으로 추가하기 위한 DNS 서비스 레코드를 올바르게 나열합니다.