4.15. IdM (Identity Management)

SSSD에서 SID 요청에 대한 메모리 캐싱 지원

이 향상된 기능을 통해 SSSD는 SID의 GID 및 UID 조회인 SID 요청에 대한 메모리 캐싱을 지원하며 그 반대의 경우도 마찬가지입니다. 메모리 캐싱은 예를 들어 Samba 서버에 대량의 파일을 복사하거나 복사하는 경우 성능이 향상됩니다.

(JIRA:RHELPLAN-123369)

ipaservicedelegationtargetipaservicedelegationrule Ansible 모듈을 사용할 수 있습니다.

이제 ipaservicedelegationtargetipaservicedelegationrule ansible-freeipa 모듈을 사용하여 다음과 같이 스마트 카드로 인증된 IdM(Identity Management) 사용자를 허용하도록 웹 콘솔 클라이언트를 구성할 수 있습니다.

  • 다시 인증하지 않고 웹 콘솔 서비스가 실행 중인 RHEL 호스트에서 sudo 를 사용합니다.
  • SSH 를 사용하여 원격 호스트에 액세스하고 다시 인증하지 않고 호스트의 액세스 서비스에 액세스합니다.

ipaservicedelegationtargetipaservicedelegationrule 모듈은 제한된 위임이라고도 하는 Kerberos S4U2proxy 기능을 사용합니다. IdM은 일반적으로 이 기능을 사용하여 웹 서버 프레임워크가 사용자를 대신하여 LDAP 서비스 티켓을 받을 수 있도록 합니다. IdM-AD 신뢰 시스템은 기능을 사용하여 cifs 주체를 가져옵니다.

(JIRA:RHELPLAN-117109)

익명 PKINIT에 대한 SSSD 지원

이 향상된 기능을 통해 SSSD는 이제 Active Directory의 Kerberos 무장이라고 합니다. 지금까지는 필요한 인증 정보를 요청하기 위해 Kerberos 키탭이 필요했습니다. 이제 익명 PKINIT를 사용하여 이 인증 정보 캐시를 생성하여ECDHEST 세션을 설정할 수 있습니다.

익명 PKINIT를 활성화하려면 다음 단계를 수행합니다.

  1. sssd.conf 파일의 [domain] 섹션에서ECDHE 5_fast_use_anonymous_pkinittrue 로 설정합니다.
  2. SSSD를 다시 시작합니다.

  3. IdM 환경에서는 IdM 사용자로 로그인하여 익명 PKINIT가 사용되었는지 확인할 수 있습니다. ECDHEST 티켓이 있는 캐시 파일이 생성되고 기본 주체: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS 는 익명 PKINIT가 사용되었음을 나타냅니다. 

    klist /var/lib/sss/db/fast_ccache_IPA.VM
Ticket cache: FILE:/var/lib/sss/db/fast_ccache_IPA.VM
Default principal: WELLKNOWN/ANONYMOUS@WELLKNOWN:ANONYMOUS
Valid starting Expires Service principal
03/10/2022 10:33:45 03/10/2022 10:43:45 krbtgt/IPA.VM@IPA.VM

(JIRA:RHELPLAN-123368)

IdM에서 Random 일련 번호 지원

이번 업데이트를 통해 이제 IdM(Identity Management)에 redundancytag pki 11.2.0 이 포함되어 있어 Random 직렬 번호 버전 3(RSNv3)을 사용할 수 있습니다. ipa-server-install 또는 ipa-ca-install 을 실행할 때 --random-serial-numbers 옵션을 사용하여 RSNv3를 활성화할 수 있습니다. RSNv3가 활성화된 경우 IdM은 범위 관리 없이 PKI에서 인증서 및 요청에 대한 완전 임의의 일련 번호를 생성합니다. RSNv3를 사용하면 대규모 IdM 설치에서 범위 관리를 방지하고 IdM을 다시 설치할 때 일반적인 충돌을 방지할 수 있습니다.

중요

RSNv3는 새로운 IdM 설치에서만 지원됩니다. 활성화된 경우 모든 PKI 서비스에서 RSNv3를 사용해야 합니다.

(BZ#747959)

이제 IdM에서 사용자 암호가 만료된 후 허용되는 LDAP 바인딩 수 제한 지원

이번 개선된 기능을 통해 IdM(Identity Management) 사용자의 암호가 만료될 때 허용되는 LDAP 바인딩 수를 설정할 수 있습니다.

-1
IdM은 사용자가 암호를 재설정하기 전에 사용자에게 무제한 LDAP 바인딩을 부여합니다. 이는 이전 동작과 일치하는 기본값입니다.
0
이 값은 암호가 만료되면 모든 LDAP 바인딩을 비활성화합니다. 사용자는 실제로 암호를 즉시 재설정해야 합니다.
1-MAXINT
입력한 값은 만료 후 많은 바인딩을 허용합니다.

이 값은 글로벌 암호 정책 및 그룹 정책에서 설정할 수 있습니다.

개수는 서버별로 저장됩니다.

사용자가 자신의 암호를 재설정하려면 현재 만료된 암호로 바인딩해야 합니다. 사용자가 모든 만료 후 바인드된 경우 암호는 관리적으로 재설정해야 합니다.

(BZ#2091988)

새로운 ipasmartcard_serveripasmartcard_client 역할

이번 업데이트를 통해 ansible-freeipa 패키지에서는 스마트 카드 인증을 위해 IdM(Identity Management) 서버 및 클라이언트를 구성하는 Ansible 역할을 제공합니다. ipasmartcard_serveripasmartcard_client 역할은 ipa-advise 스크립트를 교체하여 통합을 자동화하고 단순화합니다. 동일한 인벤토리 및 이름 지정 스키마가 다른 ansible-freeipa 역할에서와 같이 사용됩니다.

(BZ#2076567)

IdM은 Windows Server 2022를 사용한 AD 트러스트 구성을 지원

이번 개선된 기능을 통해 IdM(Identity Management) 도메인과 Windows Server 2022를 실행하는 도메인 컨트롤러를 사용하는 Active Directory 프레스타일 간 트러스트를 설정할 수 있습니다.

(BZ#2122716)

ipa-dnskeysyncdipa-ods-exporter 디버그 메시지는 기본적으로 /var/log/ECDHE에 더 이상 기록되지 않습니다.

이전에는 LDAP-to-OpenDNSSEC 동기화를 담당하는 서비스인 ipa-dnskeysyncdipa-ods-exporter, IdM(Identity Management) OpenDNSSEC 내보내기er 서비스인 ipa-ods-exporter는 기본적으로 모든 디버그 메시지를 /var/log/ ECDHE에 기록했습니다. 그 결과 로그 파일이 크게 증가했습니다. 이번 개선된 기능을 통해 /etc/ipa/dns.conf 파일에서 debug=True 를 설정하여 로그 수준을 구성할 수 있습니다. 자세한 내용은 IdM 구성 파일의 man 페이지 default.conf(5) 를 참조하십시오.

(BZ#2083218)

Samba 버전 4.16.1으로 업데이트

samba 패키지가 업스트림 버전 4.16.1으로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다.

  • 기본적으로, d 프로세스는 필요에 따라 새로운 samba-dcerpcd 프로세스를 자동으로 시작하여 분산 컴퓨팅 환경 / 원격 프로시저 functions (DCERPC)를 제공합니다. Samba 4.16 이상에서는 항상 DCERPC를 사용하려면 samba-dcerpcd 가 필요합니다. /etc/ECDHE/smb.conf 파일의 [global] 섹션에서 rpc start on demand helpers 설정을 비활성화하는 경우 독립 실행형 모드에서 samba-dcerpcd 를 실행할 systemd 서비스 장치를 생성해야 합니다.

  • CTDB(Cluster Trivial Database) 복구 마스터 역할의 이름이 리더로 변경되었습니다. 그 결과 다음과 같은 ctdb 하위 명령 이름이 변경되었습니다.

    • 리더소개
    • setrecmasterrole to setleaderrole
  • DestinationRule 복구 잠금 구성의 이름이 클러스터 잠금 으로 변경되었습니다.
  • now now uses leader broadcasts and an associated timeout to determine if an selection is required.

서버 메시지 블록 버전 1(SMB1) 프로토콜은 Samba 4.11 이후 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. samba d,nmbd, 또는 winbind 서비스가 시작되면 Samba가 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.

Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/ECDHE/smb.conf 파일을 확인합니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.

(BZ#2077487)

SSSD는 이제 Windows Server 2022와 직접 통합을 지원

이 향상된 기능을 통해 SSSD를 사용하여 Windows Server 2022를 실행하는 도메인 컨트롤러를 사용하는 Active Directory 마운더와 RHEL 시스템을 직접 통합할 수 있습니다.

(BZ#2070793)

SSSD 다중 스레드 성능 개선

이전에는 Red Hat Directory Server 및 Identity Management와 같은 다중 스레드 애플리케이션에서의 SSSD 직렬화 병렬 요청입니다. 이번 업데이트에서는 nss 및ECDHE와 같은 모든 SSSD 클라이언트 라이브러리가 수정되어 요청을 직렬화하지 않으므로 여러 스레드의 요청을 병렬로 실행하여 성능을 향상시킬 수 있습니다. 직렬화의 이전 동작을 활성화하려면 환경 변수 SSS_LOCKFREENO 로 설정합니다.

(BZ#1978119)

Directory Server에서 Auto membership 플러그인 작업을 취소하는 기능을 지원합니다.

이전 버전에서는 Directory Server에 복잡한 구성(가장 큰 그룹, 복잡한 규칙 및 다른 플러그인과의 상호 작용)이 있는 경우 서버에서 Auto membership 플러그인의 CPU 사용량을 생성할 수 있었습니다. 이번 개선된 기능을 통해 자동 멤버십 플러그인 작업을 취소할 수 있습니다. 결과적으로 성능 문제가 더 이상 발생하지 않습니다.

(BZ#2052527)

Directory Server에서 ldapdelete를 사용할 때 재귀 삭제 작업 지원

이 향상된 기능으로 Directory Server는 이제 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 컨트롤을 지원합니다. 결과적으로 ldapdelete 유틸리티를 사용하여 상위 항목의 하위 항목을 반복적으로 삭제할 수 있습니다.

(BZ#2057063)

Directory Server 설치 중에 기본 복제 옵션을 설정할 수 있습니다.

이번 개선된 기능을 통해 .inf 파일을 사용하여 인스턴스 설치 중에 인증 자격 증명 및 변경 로그 트리밍과 같은 기본 복제 옵션을 구성할 수 있습니다.

(BZ#2057066)

Directory Server에서 루트가 아닌 사용자가 인스턴스 생성 지원

이전에는 루트가 아닌 사용자가 Directory Server 인스턴스를 만들 수 없었습니다. 이번 개선된 기능을 통해 루트가 아닌 사용자는 dscreate ds-root 하위 명령을 사용하여 dscreate,dsctl,dsconf 명령을 사용하여 Directory Server 인스턴스를 생성하고 관리하는 환경을 구성할 수 있습니다.

(BZ#1872451)

PKI 패키지의 이름이 idm-pki으로 변경

이제 IDM 패키지와 Red Hat Certificate System 항목을 더 잘 구분하기 위해 다음 pki 패키지의 이름이 idm-pki 으로 변경되었습니다.

  • idm-pki-tools
  • idm-pki-acme
  • IdM-pki-base
  • idm-pki-java
  • idm-pki-ca
  • idm-pki-kra
  • idm-pki-server
  • python3-idm-pki

(BZ#2139877)