10.13. IdM (Identity Management)
Windows Server 2008 R2 이전 버전은 더 이상 지원되지 않음
RHEL 8.4 이상에서 IdM(Identity Management)은 Windows Server 2008 R2 또는 이전 버전을 실행하는 Active Directory 도메인 컨트롤러를 사용하여 Active Directory에 대한 신뢰 설정을 지원하지 않습니다. RHEL IdM은 이제 Windows Server 2012 이상에서만 사용할 수 있는 신뢰 관계를 설정할 때 SMB 암호화가 필요합니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.
cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.
freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.
터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.
문제를 해결하려면 249자 이하의 암호를 선택하십시오.
IdM 호스트의 /var/log/lastlog 스파스 파일에서 성능 문제가 발생할 수 있습니다.
IdM 설치 중에 총 10,000개의 가능한 범위의 UID 범위가 임의로 선택되어 할당됩니다. 이와 같이 임의의 범위를 선택하면 향후 두 개의 별도의 IdM 도메인을 병합하기로 결정한 경우 ID 충돌 가능성이 크게 줄어듭니다.
그러나 UID가 높으면 /var/log/lastlog 파일에 문제가 발생할 수 있습니다. 예를 들어 UID가 1280000008인 사용자가 IdM 클라이언트에 로그인하면 로컬 /var/log/lastlog 파일 크기가 거의 400GB로 증가합니다. 실제 파일은 스파스이고 모든 공간을 사용하지 않지만, 특정 애플리케이션은 기본적으로 스파스 파일을 식별하도록 설계되지 않으며 이를 처리하기 위해 특정 옵션이 필요할 수 있습니다. 예를 들어 설정이 복잡하고 백업이 있고 copy 애플리케이션이 스파스 파일을 올바르게 처리하지 않으면 파일이 크기가 400GB인 것처럼 복사됩니다. 이 동작으로 인해 성능 문제가 발생할 수 있습니다.
이 문제를 해결하려면 다음을 수행합니다.
- 표준 패키지의 경우 해당 문서를 참조하여 스파스 파일을 처리하는 옵션을 식별합니다.
-
사용자 지정 애플리케이션의 경우
/var/log/lastlog와 같은 스파스 파일을 올바르게 관리할 수 있는지 확인합니다.
(JIRA:RHELPLAN-59111)
FIPS 모드는 공유 시크릿을 사용하여 Pod 간 신뢰성을 설정하는 것을 지원하지 않습니다.
NTLMSSP 인증은 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 포드 간 트러스트를 설정하는 것은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드와 AD 도메인이 활성화된 IdM 도메인 간에 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.
freeradminating 서버가 FIPS 모드에서 실행되지 않음
기본적으로 FIPS 모드에서 OpenSSL은 MD5 다이제스트 알고리즘 사용을 비활성화합니다. RADIUS 프로토콜에서는 RADIUS 클라이언트와 RADIUS 서버 간의 시크릿을 암호화하기 위해 MD5가 필요하므로 FreeRADIUS 서버가 FIPS 모드에서 실패합니다.
이 문제를 해결하려면 다음 단계를 따르십시오.
절차
대체 서비스에 대한 환경 변수
RADIUS_MD5_FIPS_OVERRIDE를생성합니다.systemctl edit radiusd [Service] Environment=RADIUS_MD5_FIPS_OVERRIDE=1
변경 사항을 적용하려면
systemd구성을 다시 로드하고 pilotd 서비스를시작합니다.# systemctl daemon-reload # systemctl start radiusd
디버그 모드에서 FreeRADIUS를 실행하려면 다음을 수행합니다.
# RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X
FreeRADIUS는 FIPS 모드에서 실행할 수 있지만 FIPS 모드에서 취약한 암호와 함수를 사용하기 때문에 FIPS와 호환되지 않는 것은 아닙니다.
FIPS 모드에서 FreeRADIUS 인증 구성에 대한 자세한 내용은 FIPS 모드에서 FreeRADIUS 인증을 구성하는 방법을 참조하십시오.
Samba를 출력 서버로 실행할 때 필요한 작업
이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/samba/ 디렉터리를 생성하지 않습니다. Samba를 출력 서버로 사용하고 [printers] 공유에서 /var/spool/samba/ 를 사용하여 출력 작업을 스풀링하는 경우 SELinux는 Samba 사용자가 이 디렉토리에 파일을 만들지 못하게 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스는 거부된 메시지를 /var/log/audit/audit.log 에 기록합니다. 시스템을 RHEL 8.5로 업데이트한 후 이 문제를 방지하려면 다음을 수행하십시오.
-
/etc/samba/smb.conf파일에서[printers]공유를 검색합니다. -
공유 정의에
path = /var/spool/samba/가 포함된 경우 설정을 업데이트하고path매개 변수를/var/tmp/로 설정합니다. smbd서비스를 다시 시작하십시오.# systemctl restart smbd
RHEL 8.5에 Samba를 새로 설치한 경우 조치가 필요하지 않습니다. RHEL 8.5의 samba-common 패키지에서 제공하는 기본 /etc/samba/smb.conf 파일은 이미 /var/tmp/ 디렉토리를 사용하여 출력 작업을 스풀링합니다.
(BZ#2009213)
NSS에서 활성화된 암호에 대한 default 키워드는 다른 암호와 함께 작동하지 않습니다.
Directory Server에서는 default 키워드를 사용하여 NSS(네트워크 보안 서비스)에서 활성화된 기본 암호를 참조할 수 있습니다. 그러나 명령줄 또는 웹 콘솔을 사용하여 기본 암호와 추가 암호를 활성화하려면 Directory Server에서 default 키워드를 확인하지 못합니다. 결과적으로 서버는 추가적으로 지정된 암호만 활성화하고 다음 오류를 기록합니다.
Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)
이 문제를 해결하려면 추가로 활성화하려는 암호를 포함하여 NSS에서 기본적으로 활성화된 모든 암호를 지정합니다.
ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험
TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.
현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.
암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.
(JIRA:RHELPLAN-155168)
