9.6. IdM (Identity Management)

Identity Management JSON-RPC API를 기술 프리뷰로 사용 가능

IdM(Identity Management)에 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저도 기술 프리뷰로 제공합니다.

이전에는 여러 버전의 API 명령을 사용하도록 IdM API가 향상되었습니다. 이러한 향상된 기능으로 인해 호환되지 않는 방식으로 명령의 동작이 변경될 수 있습니다. 이제 IdM API가 변경되어도 기존 툴 및 스크립트를 계속 사용할 수 있습니다. 이를 통해 다음을 활성화합니다.

  • 관리자는 관리 클라이언트보다 서버에서 이전 또는 이후 버전의 IdM을 사용하는 것입니다.
  • IdM 버전이 서버에서 변경되어도 개발자는 특정 버전의 IdM 호출을 사용할 수 있습니다.

경우에 따라 한 측에서 기능에 대한 새로운 옵션을 도입하는 최신 버전을 사용하는 경우와 관계없이 서버와의 통신이 가능합니다.

API 사용에 대한 자세한 내용은 Using the Identity Management API to Communicate with the IdM Server (TECHNOLOGY PREVIEW) 를 참조하십시오.

(BZ#1664719)

DNSSEC는 IdM에서 기술 프리뷰로 사용 가능

통합 DNS가 있는 IdM(Identity Management) 서버는 이제 DNS 프로토콜의 보안을 강화하는 DNS의 확장 기능인 DNS 보안 확장(DNSSEC)을 구현합니다. IdM 서버에서 호스팅되는 DNS 영역에 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

DNSSEC를 사용하여 DNS 영역을 보호하려는 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.

통합 DNS가 포함된 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 검증합니다. 이는 권장 이름 지정 방법에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 미칠 수 있습니다.

(BZ#1664718)

ACME를 기술 프리뷰로 이용 가능

ACME(Automated Certificate Management Environment) 서비스가 IdM(Identity Management)에서 기술 프리뷰로 제공됩니다. ACME는 자동 식별자 검증 및 인증서 발행을 위한 프로토콜입니다. 인증서 수명을 줄이고 인증서 라이프사이클 관리에서 수동 프로세스를 방지하여 보안을 개선하는 것입니다.

RHEL에서 ACME 서비스는 RHCS(Red Hat Certificate System) PKI ACME 응답자를 사용합니다. RHCS ACME 하위 시스템은 IdM 배포의 모든 CA(인증 기관) 서버에 자동으로 배포되지만 관리자가 이를 활성화할 때까지는 요청을 서비스하지 않습니다. RHCS는 ACME 인증서를 발급할 때 acmeIPAServerCert 프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. ACME 서비스를 활성화하거나 비활성화하면 전체 IdM 배포에 영향을 미칩니다.

중요

모든 서버가 RHEL 8.4 이상을 실행하는 IdM 배포에서 ACME를 활성화하는 것이 좋습니다. 이전 RHEL 버전에는 ACME 서비스가 포함되어 있지 않으므로 혼합 버전 배포 시 문제가 발생할 수 있습니다. 예를 들어 ACME가 없는 CA 서버는 다른 DNS SAN(Subject Alternative Name)을 사용하므로 클라이언트 연결이 실패할 수 있습니다.

주의

현재 RHCS는 만료된 인증서를 제거하지 않습니다. ACME 인증서는 90일 후에 만료되므로 만료된 인증서가 누적될 수 있으며 성능에 영향을 미칠 수 있습니다.

  • 전체 IdM 배포에서 ACME를 활성화하려면 ipa-acme-manage enable 명령을 사용합니다. 

    # ipa-acme-manage enable
The ipa-acme-manage command was successful

  • IdM 배포에서 ACME를 비활성화하려면 ipa-acme-manage disable 명령을 사용합니다. 

    # ipa-acme-manage disable
The ipa-acme-manage command was successful

  • ACME 서비스가 설치되어 있고 활성화 또는 비활성화되었는지 확인하려면 ipa-acme-manage status 명령을 사용하십시오. 

    # ipa-acme-manage status
ACME is enabled
The ipa-acme-manage command was successful

(BZ#1628987)

RHEL IdM을 사용하면 사용자 인증을 외부 ID 공급자에 기술 프리뷰로 위임할 수 있습니다.

RHEL IdM에서는 OAuth 2 장치 권한 부여 흐름을 지원하는 외부 ID 공급자(IdP)와 사용자를 연결할 수 있습니다. 이러한 사용자는 RHEL 8.7에서 사용할 수 있는 SSSD 버전으로 인증할 때 외부 IdP에서 인증 및 권한 부여를 수행한 후 Kerberos 티켓을 통해 RHEL IdM SSO(Single Sign-On) 기능을 수신합니다.

주요 기능은 다음과 같습니다.

  • ipa idp-* 명령을 사용하여 외부 IdP에 대한 참조 추가, 수정 및 삭제
  • ipa user-mod --user-auth-type=idp 명령을 사용하여 사용자의 IdP 인증 활성화

자세한 내용은 Using external identity providers to authenticate to IdM 에서 참조하십시오.

(BZ#2101770)

sssd-idp 하위 패키지를 기술 프리뷰로 사용 가능

SSSD용 sssd-idp 하위 패키지에는 IdM(Identity Management) 서버에 대해 OAuth2 인증을 수행하는 클라이언트 측 구성 요소인 oidc_child 및ECDHE5 idp 플러그인이 포함되어 있습니다. 이 기능은 RHEL 8.7 이상의 IdM 서버와 RHEL 9.1 이상에서만 사용할 수 있습니다.

(BZ#2065692)

SSSD 내부ECDHE5 idp 플러그인 사용 기술 프리뷰

SSSDECDHE5 idp 플러그인을 사용하면 OAuth2 프로토콜을 사용하여 외부 ID 공급자(IdP)에 대해 인증할 수 있습니다. 이 기능은 RHEL 8.7 이상의 IdM 서버와 RHEL 9.1 이상에서만 사용할 수 있습니다.

(BZ#2056483)