5.11. IdM (Identity Management)

OpenSSL 레거시 공급자를 사용한 MS-CHAP 인증

이전 버전에서는 MS-CHAP를 사용한 FreeRADIUS 인증 메커니즘은 MD4 해시 함수에 의존하여 RHEL 9에서 더 이상 사용되지 않기 때문에 실패했습니다. 이번 업데이트를 통해 OpenSSL 레거시 공급자를 활성화하는 경우 MS-CHAP 또는 MS-CHAPv2를 사용하여 FreeRADIUS 사용자를 인증할 수 있습니다.

기본 OpenSSL 공급자를 사용하는 경우 MS-CHAP 및 MS-CHAPv2 인증이 실패하고 수정 사항을 나타내는 다음 오류 메시지가 표시됩니다.

 Couldn't init MD4 algorithm. Enable OpenSSL legacy provider.

(BZ#1978216)

sudo 명령을 실행해도 더 이상 KRB5CCNAME 환경 변수를 내보내지 않습니다.

이전 버전에서는 sudo 명령을 실행한 후 환경 변수 KRB5CCNAME 은 대상 사용자가 액세스할 수 없는 원래 사용자의 Kerberos 인증 정보 캐시를 가리켰습니다. 따라서 이 캐시에 액세스할 수 없으므로 Kerberos 관련 작업이 실패할 수 있습니다. 이번 업데이트를 통해 sudo 명령을 실행하면 더 이상 KRB5CCNAME 환경 변수가 설정되지 않으며 대상 사용자는 기본 Kerberos 인증 정보 캐시를 사용할 수 있습니다.

(BZ#1879869)

SSSD는 /etc/krb5.conf에서 Kerberos keytab 이름의 기본 설정을 올바르게 평가합니다.

이전에는 KnativeServing 5.keytab 파일에 비표준 위치를 정의한 경우 SSSD에서 이 위치를 사용하지 않고 기본 /etc/krb5.keytab 위치를 대신 사용했습니다. 결과적으로 시스템에 로그인하려고 하면 /etc/krb5.keytab 으로 로그인에 항목이 포함되지 않았습니다.

이번 업데이트를 통해 SSSD는 이제 /etc/krb5.confdefault_keytab_name 변수를 평가하고 이 변수에서 지정한 위치를 사용합니다. SSSD는 default_keytab_name 변수가 설정되지 않은 경우에만 기본 /etc/krb5.keytab 위치를 사용합니다.

(BZ#1737489)

PBKDF2 알고리즘으로 해시된 암호를 사용하여 FIPS 모드에서 Directory Server에 인증하면 예상대로 작동합니다.

Directory Server가 연방 정보 처리 표준(FIPS) 모드에서 실행되는 경우 PK11_ExtractKeyValue() 함수를 사용할 수 없습니다. 결과적으로 이 업데이트 이전에는 암호 기반 키 저하 기능 2(PBKDF2) 알고리즘으로 암호 해시가 지정된 사용자가 FIPS 모드가 활성화되면 서버에 인증할 수 없었습니다. 이번 업데이트를 통해 Directory Server는 이제 PK11_Decrypt() 함수를 사용하여 암호 해시 데이터를 가져옵니다. 그 결과 PBKDF2 알고리즘으로 해시된 암호를 사용한 인증이 예상대로 작동합니다.

(BZ#1779685)