Red Hat Training
A Red Hat training course is available for RHEL 8
17.8. SSSD
17.8.1. 이제 AD rshs가 기본적으로 적용됩니다.
RHEL 8에서는 ad_gpo_access_control 옵션에 대한 기본 설정이 강제 적용되어 Active Directory Group Policy Objects(GPO)를 기반으로 하는 액세스 제어 규칙이 평가되고 적용됩니다.
반대로 RHEL 7에서 이 옵션의 기본값은 허용 이며, 이 권한은 JWT 기반 액세스 제어 규칙을 평가하지만 적용하지는 않습니다. 허용 모드를 사용하면 grant 사용자가 access를 거부할 때마다 syslog 메시지가 기록되지만 해당 사용자는 계속 로그인할 수 있습니다.
Red Hat은 RHEL 7에서 RHEL 8로 업그레이드하기 전에 active Directory에IMG를 올바르게 구성하는 것이 좋습니다.
기본 RHEL 7 호스트에서 권한 부여에 영향을 미치지 않는 misconfigured rshs는 기본 RHEL 8 호스트에 영향을 줄 수 있습니다.
GPO에 대한 자세한 내용은 RHEL의 그룹 정책 오브젝트 액세스 제어 적용 및 sssd-ad 설명서 페이지의 ad_gpo_access_control 항목을 참조하십시오.
17.8.2. authconfig 를대체하는 Authselect
authconfig 를
RHEL 8에서 authselect 유틸리티 대신 authconfig 유틸리티를 대체합니다. authselect 는 시스템 관리자에게 PAM 구성 변경을 더 간단하게 만들 수 있는 PAM 스택 관리에 대한 보다 안전한 접근 방식을 제공합니다. authselect 는 암호, 인증서, 스마트 카드 및 지문과 같은 인증 방법을 구성하는 데 사용할 수 있습니다. authselect 는 원격 도메인에 가입하는 데 필요한 서비스를 구성하지 않습니다. 이 작업은 realmd 또는 ipa-client-install 과 같은 특수 툴에 의해 수행됩니다.
17.8.3. KCM은 KEYRING을 기본 인증 정보 캐시 스토리지로 대체
RHEL 8에서 기본 인증 정보 캐시 스토리지는 sssd-kcm 데몬에서 지원하는 KCM(Kerberos Credential Manager)입니다. KCM에는 이전에 사용된 KEYRING의 제한 사항(예:네임 스페이스가 없기 때문에 컨테이너 환경에서 사용하기가 어렵고 할당량을 표시 및 관리할 수 없음)이 해결되어 있습니다.
이번 업데이트를 통해 RHEL 8에는 컨테이너화된 환경에 더 적합하고 향후 릴리스에서 보다 많은 기능을 빌드할 수 있는 기반을 제공하는 인증 정보 캐시가 제공됩니다.
17.8.4. sssctl을 통해 IdM 도메인의 HBAC 규칙 보고서 출력
이번 업데이트에서 SSSD(System Security Services Daemon)의 sssctl 유틸리티를 통해 IdM(Identity Management) 도메인의 액세스 제어 보고서를 출력할 수 있습니다. 이는 특정 환경에서 규제상의 이유로 특정 클라이언트 컴퓨터에 액세스할 수 있는 사용자 및 그룹 목록을 표시하는 기능으로 사용될 수 있습니다. IdM 클라이언트에서 sssctl access-report domain_name을 실행하면 클라이언트 시스템에 적용되는 IdM 도메인의 호스트 기반 액세스 제어(HBAC) 규칙의 구문 분석된 하위 세트를 표시합니다.
IdM 이외의 모든 공급자는 이 기능을 지원하지 않습니다.
17.8.5. RHEL 8.8부터 SSSD는 더 이상 로컬 사용자를 캐시하지 않으며 nss_sss 모듈을 통해 로컬 사용자를 캐시하지 않습니다.
RHEL 8.8 이상에서는 /etc/passwd 및 /etc/group 파일에서 사용자 및 그룹에 서비스를 제공하는 SSSD(System Security Services Daemon) 파일 공급자가 기본적으로 비활성화되어 있습니다. /etc/sssd/sssd.conf 구성 파일의 enable_files_domain 설정 기본값은 false 입니다.
RHEL 8.7 및 이전 버전의 경우 SSSD 파일 공급자가 기본적으로 활성화되어 있습니다. sssd.conf 구성 파일의 enable_ 설정 기본값은 files _domaintrue 이고 sss nsswitch 모듈은 /etc/nsswitch.conf 파일의 파일 앞에 있습니다.
17.8.6. SSSD를 사용하면 여러 스마트 카드 인증 장치 중 하나를 선택할 수 있습니다.
기본적으로 SSSD(System Security Services Daemon)는 스마트 카드 인증에 대한 장치를 자동으로 감지합니다. 여러 장치가 연결되어 있으면 SSSD에서 먼저 탐지하는 장치를 선택합니다. 결과적으로 특정 장치를 선택할 수 없으므로 실패가 발생하는 경우도 있습니다.
이번 업데이트를 통해 sssd.conf 구성 파일의 [pam] 섹션에 새 p11_uri 옵션을 구성할 수 있습니다. 이 옵션을 사용하면 스마트 카드 인증에 사용되는 장치를 정의할 수 있습니다.
예를 들어 OpenSC PKCS#11 모듈에서 감지한 슬롯 ID 2 가 있는 리더를 선택하려면 다음을 추가합니다.
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
sssd.conf의 [pam] 섹션에 추가합니다.
자세한 내용은 man sssd.conf 페이지를 참조하십시오.
