10.11. IdM (Identity Management)

Windows Server 2008 R2 및 이전 버전은 더 이상 지원되지 않음

RHEL 8.4 이상에서 IdM(Identity Management)은 Windows Server 2008 R2 또는 이전 버전을 실행하는 Active Directory 도메인 컨트롤러를 사용하여 Active Directory에 대한 신뢰 설정을 지원하지 않습니다. RHEL IdM은 이제 Windows Server 2012 이상에서만 사용할 수 있는 신뢰 관계를 설정할 때 SMB 암호화를 필요로 합니다.

(BZ#1971061)

agent-uid pkidbuser 옵션과 함께 cert- fix 유틸리티를 사용하면 인증서 시스템이 손상됩니다.

--agent-uid pkidbuser 옵션과 함께 cert-fix 유틸리티를 사용하면 인증서 시스템의 LDAP 구성이 손상되었습니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.

(BZ#1729215)

IdM 호스트의 /var/log/lastlog 스파스 파일에서 성능 문제가 발생할 수 있습니다.

IdM 설치 중에 총 10,000개의 가능한 범위에서 200,000개의 UID를 무작위로 선택하고 할당됩니다. 이러한 방식으로 임의의 범위를 선택하면 향후 두 개의 별도의 IdM 도메인을 병합하기로 결정하는 경우 ID 충돌이 발생할 가능성이 크게 감소합니다.

그러나 UID가 높으면 /var/log/lastlog 파일에 문제가 발생할 수 있습니다. 예를 들어 UID가 1280000008인 사용자가 IdM 클라이언트에 로그인하면 로컬 /var/log/lastlog 파일 크기가 거의 400GB로 증가합니다. 실제 파일은 스파스 파일이지만 해당 공간을 모두 사용하지는 않지만 특정 애플리케이션은 기본적으로 스파스 파일을 식별하도록 설계되지 않았으며 이를 처리하는 데 특정 옵션이 필요할 수 있습니다. 예를 들어 설정이 복잡하고 백업과 복사 애플리케이션이 스파스 파일을 올바르게 처리하지 않으면 크기가 400GB인 것처럼 파일이 복사됩니다. 이 동작은 성능 문제를 일으킬 수 있습니다.

이 문제를 해결하기 위해:

  • 표준 패키지의 경우 해당 설명서를 참조하여 스파스 파일을 처리하는 옵션을 식별합니다.
  • 사용자 지정 애플리케이션의 경우 /var/log/lastlog 와 같은 스파스 파일을 올바르게 관리할 수 있는지 확인합니다.

(JIRA:RHELPLAN-59111)

FIPS 모드는 공유 보안 사용을 지원하지 않습니다.

RADIUSSSP 인증이 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 가장 간 트러스트를 설정하는 것은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드가 활성화된 IdM 도메인과 AD 도메인 간의 신뢰를 설정할 때 Active Directory(AD) 관리 계정으로 인증합니다.

(BZ#1924707)

freeradius 서버가 FIPS 모드에서 실행되지 않음

기본적으로 OpenSSL은 FIPS 모드에서 MD5 다이제스트 알고리즘 사용을 비활성화합니다. RADIUS 프로토콜은 RADIUS 클라이언트와 RADIUS 서버 간의 비밀을 암호화하기 위해 MD5가 필요하기 때문에 FreeRADIUS 서버가 FIPS 모드에서 실패합니다.

이 문제를 해결하려면 다음 단계를 수행하십시오.

절차

  1. radiusd 서비스에 대한 환경 변수 RADIUS_md5_FIPS_OVERRIDE 를 생성합니다.

    systemctl edit radiusd
    
    [Service]
    Environment=RADIUS_MD5_FIPS_OVERRIDE=1
  2. 변경 사항을 적용하려면 systemd 구성을 다시 로드하고 radiusd 서비스를 시작합니다.

    # systemctl daemon-reload
    # systemctl start radiusd
  3. 디버그 모드에서 FreeRADIUS를 실행하려면 다음을 수행합니다.

    # RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X

FreeRADIUS는 FIPS 모드에서 실행할 수 있지만 FIPS 모드에서는 FIPS와 같은 암호와 함수를 사용하므로 FIPS와 호환되는 것은 아닙니다.

FIPS 모드에서 FreeRADIUS 인증 구성에 대한 자세한 내용은 FIPS 모드에서 FreeRADIUS 인증을 구성하는 방법을 참조하십시오.

(BZ#1958979)

출력 서버로 Samba를 실행하고 RHEL 8.4 및 이전 버전에서 업데이트할 때 필요한 동작

이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/samba/ 디렉터리를 생성하지 않습니다. Samba를 인쇄 서버로 사용하고 [ctlplanes] 공유에서 /var/spool/samba/ 를 사용하여 출력 작업을 스풀할 경우 SELinux는 Samba 사용자가 이 디렉터리에 파일을 생성하지 못하도록 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스가 거부 된 메시지를 /var/log/audit/audit.log 에 기록합니다. 시스템을 8.4 및 이전 버전에서 업데이트한 후 이러한 문제를 방지하려면 다음을 수행하십시오.

  1. /etc/samba/smb.conf 파일에서 [ctlplanes] 공유를 검색합니다.
  2. 공유 정의에 path = /var/spool/samba/ 가 포함된 경우 설정을 업데이트하고 path 매개 변수를 /var/tmp/ 로 설정합니다.
  3. smbd 서비스를 다시 시작합니다.

    # systemctl restart smbd

RHEL 8.5 이상에 Samba를 새로 설치한 경우 작업을 수행할 필요가 없습니다. 이 경우 samba-common 패키지에서 제공하는 기본 /etc/samba/smb.conf 파일은 이미 /var/tmp/ 디렉터리를 사용하여 출력 작업을 스풀합니다.

(BZ#2009213)

1.2.2베이스 버전 1.2.2로 재베이스한 후 시스템 인증을 다운그레이드합니다.

authselect 패키지가 최신 업스트림 버전 1.2.2 로 재지정되었습니다. 다운그레이드 authselect 는 지원되지 않으며 루트를 포함하여 모든 사용자의 시스템 인증을 중단합니다.

authselect 패키지를 1.2.1 이하로 다운그레이드한 경우 다음 단계를 수행하여 이 문제를 해결합니다.

  1. GRUB 부팅 화면에서 부팅하려는 커널 버전이 있는 Red Hat Enterprise Linux 를 선택하고 e 를 눌러 항목을 편집합니다.
  2. linux 로 시작하는 행 끝에 single 을 별도의 단어로 입력하고 Ctrl+X 를 눌러 부팅 프로세스를 시작합니다.
  3. 단일 사용자 모드로 부팅하면 루트 암호를 입력합니다.
  4. 다음 명령을 사용하여 authselect 구성을 복원하십시오.

    # authselect select sssd --force

(BZ#1892761)

NSS에서 활성화된 암호의 default 키워드는 다른 암호와 함께 작동하지 않습니다.

Directory Server에서 default 키워드를 사용하여 NSS(네트워크 보안 서비스)에서 활성화된 기본 암호를 참조할 수 있습니다. 그러나 명령줄 또는 웹 콘솔을 사용하여 기본 암호와 추가 암호를 활성화하려면 Directory Server에서 default 키워드를 확인하지 못합니다. 결과적으로 서버는 추가 지정된 암호만 활성화하고 다음 오류를 기록합니다.

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

이 문제를 해결하려면 추가 활성화를 포함하여 NSS에서 기본적으로 활성화된 모든 암호를 지정합니다.

(BZ#1817505)

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = adid_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.

암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.

(JIRA:RHELPLAN-155168)