8.13. IdM (Identity Management)

RHEL 9 Kerberos 클라이언트가 Heimdal EgressIP에 대해 PKINIT를 사용하여 사용자를 인증하지 못했습니다.

RHEL 9 Kerberos 클라이언트에서 IdM 사용자의 PKINIT 인증 동안 RHEL 9 또는 이전 버전의 Heimdal Kerberos Distribution Center(KDC)는 지원되는CMSTypes 필드를 지원하지 않기 때문에 SHA-1 백업 서명 알고리즘을 사용합니다. 그러나 SHA-1 알고리즘은 RHEL 9에서 더 이상 사용되지 않으므로 사용자 인증이 실패합니다.

이 문제를 해결하려면 다음 명령을 사용하여 RHEL 9 클라이언트에서 SHA-1 알고리즘 지원을 활성화하십시오. 

# update-crypto-policies --set DEFAULT:SHA1

결과적으로 PKINIT 인증은 Kerberos 클라이언트와 Heimdal EgressIP 간에 작동합니다.

지원되는 백업 서명 알고리즘에 대한 자세한 내용은 Kerberos Encryption Types Defined for CMS Algorithm Identifiers 를 참조하십시오.

RHEL 9 Kerberos 에이전트가 RHEL 9 Kerberos 에이전트와 통신하면 사용자의 PKINIT 인증이 실패합니다. 에서 참조하십시오.

(BZ#2068935)

RHEL 9 Kerberos 에이전트가 RHEL 9 Kerberos 에이전트와 통신하면 사용자의 PKINIT 인증이 실패합니다.

RHEL 9 Kerberos 에이전트가 사용자 환경의 RHEL 9 Kerberos 에이전트와 상호 작용하는 경우 사용자의 초기 인증(PKINIT) 인증을 위한 Public Key Cryptography가 실패합니다. 이 문제를 해결하려면 다음 작업 중 하나를 수행하십시오.

  • SHA-1 서명을 확인할 수 있도록 RHEL 9 에이전트의 crypto-policy를 DEFAULT:SHA1 로 설정합니다. 

    # update-crypto-policies --set DEFAULT:SHA1

  • SHA-1 알고리즘을 사용하여 CMS 데이터에 서명하지 않도록 RHEL 9 에이전트를 업데이트합니다. 이를 위해 SHA-1 대신 SHA-256을 사용하는 버전으로 Kerberos 패키지를 업데이트하십시오.

    • CentOS 9 Stream: jenkinsfile5-1.19.1-15
    • RHEL 8.7: krb5-1.18.2-17
    • RHEL 7.9: krb5-1.15.1-53
    • Fedora Rawhide/36:tekton5-1.19.2-7
    • Fedora 35/34:qcow5-1.19.2-3

패치되지 않은 에이전트가 Kerberos 클라이언트인지 Kerberos 배포 센터(KDC)인지와 관계없이 이러한 동작 중 하나를 수행해야 합니다.

그 결과 사용자의 PKINIT 인증이 제대로 작동합니다.

다른 운영 체제의 경우, agent가 SHA-1 대신 SHA-256으로 CMS 데이터에 서명할 수 있도록 하는 jenkinsfile5-1.20 릴리스입니다.

DEFAULT:SHA1 하위 정책은 이전 RHEL KDC 및 AD KDC에 대해 PKINIT가 작동하도록 RHEL 9 클라이언트에 설정되어야 합니다. 에서 참조하십시오.

(BZ#2077450)

DEFAULT:SHA1 하위 정책은 이전 RHEL KDC 및 AD KDC에 대해 PKINIT가 작동하도록 RHEL 9 클라이언트에 설정되어야 합니다.

SHA-1 다이제스트 알고리즘은 RHEL 9에서 더 이상 사용되지 않으며 PKINIT(Public Key Cryptography for Public Key Cryptography)에 대한 CMS 메시지는 이제 더 강력한 SHA-256 알고리즘으로 서명되었습니다.

SHA-256은 RHEL 7.9 및 RHEL 8.7부터 기본적으로 사용되지만 RHEL 7.8 및 RHEL 8.6에서 이전 KDC(KDC)는 여전히 SHA-1 다이제스트 알고리즘을 사용하여 CMS 메시지에 서명합니다. AD(Active Directory) KDC는 이렇게 합니다.

결과적으로 RHEL 9 Kerberos 클라이언트는 다음을 기준으로 PKINIT를 사용하여 사용자를 인증할 수 없습니다.

  • RHEL 7.8 및 이전 버전에서 실행되는 KDC
  • RHEL 8.6 이하에서 실행되는 KDC
  • AD KDCs

이 문제를 해결하려면 다음 명령을 사용하여 RHEL 9 시스템에서 SHA-1 알고리즘 지원을 활성화하십시오. 

 # update-crypto-policies --set DEFAULT:SHA1

RHEL 9 Kerberos 클라이언트가 Heimdal EgressIP에 대해 PKINIT를 사용하여 사용자를 인증하지 못했습니다. 도 참조하십시오.

(BZ#2060798)

AD trust에 대한 FIPS 지원에는 AD-SUPPORT crypto sub-policy가 필요합니다.

AD(Active Directory)는 기본적으로 RHEL 9에서 FIPS 모드에서 허용되지 않는 AES SHA-1 HMAC 암호화 유형을 사용합니다. AD 신뢰와 함께 RHEL 9 IdM 호스트를 사용하려면 IdM 소프트웨어를 설치하기 전에 AES SHA-1 HMAC 암호화 유형에 대한 지원을 활성화하십시오.

FIPS 컴플라이언스 규정 준수는 기술 및 조직적 계약과 관련된 프로세스이므로 AD-SUPPORT 하위 정책을 활성화하여 기술 측정에서 AES SHA-1 HMAC 암호화 유형을 지원하는 다음 RHEL IdM을 설치하기 전에 FIPS 감사자를 확인하십시오. 

 # update-crypto-policies --set FIPS:AD-SUPPORT

(BZ#2057471)

Directory Server는 추천 모드에서 시작될 때 예기치 않게 종료됩니다.

버그로 인해 전역 추천 모드가 Directory Server에서 작동하지 않습니다. refer 옵션을 dirsrv 사용자로 사용하여 ns-slapd 프로세스를 시작하는 경우 Directory Server는 포트 설정을 무시하고 예기치 않게 종료됩니다. 루트 사용자가 SELinux 레이블을 변경하고 나중에 일반 모드에서 서비스가 시작되지 않도록 프로세스를 실행하려고 합니다. 사용 가능한 해결방법이 없습니다.

(BZ#2053204)

Directory Server에서 접미사에 대한 참조를 구성하는 데 실패합니다.

Directory Server에서 백엔드 참조를 설정하는 경우 dsconf <instance_name> 백엔드 접미사 세트를 사용하여 백엔드 상태를 설정하는 작업이 다음 오류와 함께 실패합니다. 

Error: 103 - 9 - 53 - Server is unwilling to perform - [] - need to set nsslapd-referral before moving to referral state

결과적으로 접미사에 대한 참조를 구성하는 데 실패합니다. 문제를 해결하기 위해:

  1. nsslapd-referral 매개변수를 수동으로 설정합니다. 

    # ldapmodify -D "cn=Directory Manager" -W -H ldap://server.example.com

dn: cn=dc\3Dexample\2Cdc\3Dcom,cn=mapping tree,cn=config
changetype: modify
add: nsslapd-referral
nsslapd-referral: ldap://remote_server:389/dc=example,dc=com

  2. 백엔드 상태를 설정합니다. 

    # dsconf <instance_name> backend suffix set --state referral

이 문제를 해결하려면 접미사에 대한 참조를 구성할 수 있습니다.

(BZ#2063140)

dsconf 유틸리티에는 entryUUID 플러그인에 대한 수정 작업 생성 옵션이 없습니다.

dsconf 유틸리티는 entryUUID 플러그인에 대한 수정 작업 생성 옵션을 제공하지 않습니다. 따라서 관리자는 dsconf 를 사용하여 기존 항목에 항목UUID 특성을 자동으로 추가하는 작업을 생성할 수 없습니다. 이 문제를 해결하려면 작업을 수동으로 생성합니다. 

# ldapadd -D "cn=Directory Manager" -W -H ldap://server.example.com -x

dn: cn=entryuuid_fixup___<time_stamp__,cn=entryuuid task,cn=tasks,cn=config
objectClass: top
objectClass: extensibleObject
basedn: __<fixup base tree>__
cn: entryuuid_fixup___<time_stamp>__
filter: __<filtered_entry>__

작업을 만들고 나면 Directory Server에서 누락되거나 잘못된 항목 UUID 속성으로 항목을 수정합니다.

(BZ#2047175)

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = adid_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.

암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.

(JIRA:RHELPLAN-155168)