1.3. IdM의 사용자 정의 설정 요구 사항

DNS, Kerberos, Apache 또는 Directory Server와 같은 서비스에 대한 사용자 정의 구성 없이 정리 시스템에 IdM(Identity Management) 서버를 설치합니다.

IdM 서버 설치에서는 시스템 파일을 덮어써서 IdM 도메인을 설정합니다. IdM은 원본 시스템 파일을 /var/lib/ipa/sysrestore/에 백업합니다. 라이프사이클이 끝날 때 IdM 서버가 설치 제거되면 이러한 파일이 복원됩니다.

1.3.1. IdM의 IPv6 요구 사항

IdM 시스템에는 커널에 IPv6 프로토콜이 활성화되어 있어야 합니다. IPv6를 비활성화하면 IdM 서비스에서 사용하는 CLDAP 플러그인이 초기화되지 않습니다.

참고

네트워크에서 IPv6를 활성화할 필요가 없습니다.

1.3.2. IdM의 암호화 유형 지원

RHEL(Red Hat Enterprise Linux)은 AES(Advanced Encryption Standard), Camellia 및 Data Encryption Standard(DES)와 같은 암호화 유형을 지원하는 Kerberos 프로토콜의 버전 5를 사용합니다.

지원되는 암호화 유형 목록

IdM 서버 및 클라이언트의 Kerberos 라이브러리는 더 많은 암호화 유형을 지원할 수 있지만 IdM Kerberos Distribution Center(KDC)는 다음 암호화 유형만 지원합니다.

  • aes256-cts:normal
  • aes256-cts:special (기본값)
  • aes128-cts:normal
  • aes128-cts:special (기본값)
  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special
  • camellia128-cts-cmac:normal
  • camellia128-cts-cmac:special
  • camellia256-cts-cmac:normal
  • camellia256-cts-cmac:special

RC4 암호화 유형은 기본적으로 비활성화되어 있습니다.

RHEL 9에서는 다음 RC4 암호화 유형이 새로운 AES-128 및 AES-256 암호화 유형보다 덜 안전한 것으로 간주되므로 기본적으로 비활성화되어 있습니다.

  • arcfour-hmac:normal
  • arcfour-hmac:special

RC4 에서 기존 Active Directory 환경과의 호환성을 수동으로 지원하는 방법에 대한 자세한 내용은 AD 및 RHEL의 일반적인 암호화 유형에 대한 지원 활성화를 참조하십시오.

DES 및 3DES 암호화 지원이 제거되었습니다.

보안상의 이유로 RHEL 7에서는 DES 알고리즘 지원이 더 이상 사용되지 않습니다. 단일 설계(DES) 및 트리플-DES (3DES) 암호화 유형이 RHEL 8에서 제거되었으며 RHEL 9에서는 사용되지 않습니다.

1.3.3. IdM에서 시스템 전체 암호화 정책 지원

IdM은 DEFAULT 시스템 전체 암호화 정책을 사용합니다. 이 정책은 현재 위협 모델에 대한 보안 설정을 제공합니다. 이 보안 설정은 TLS 1.2 및 1.3 프로토콜과 IKEv2 및 SSH2 프로토콜을 허용합니다. RSA 키와 Diffie-Hellman 매개변수는 2048비트 이상인 경우 허용됩니다. 이 정책은 DES, 3DES, RC4, DSA, TLS v1.0 및 기타 Weaker 알고리즘을 허용하지 않습니다.

참고

FUTURE 시스템 전체 암호화 정책을 사용하는 동안에는 IdM 서버를 설치할 수 없습니다. IdM 서버를 설치할 때 DEFAULT 시스템 전체 암호화 정책을 사용하고 있는지 확인합니다.

추가 리소스

1.3.4. FIPS 컴플라이언스

FTA(Federal Information Processing Standard) 모드가 활성화된 새 IdM 서버 또는 복제본을 시스템에 설치할 수 있습니다. 유일한 예외는 FIPS:OSPP 암호화 하위 정책이 활성화된 시스템입니다.

FIPS를 사용하여 IdM을 설치하려면 먼저 호스트에서 FIPS 모드를 활성화한 다음 IdM을 설치하십시오. IdM 설치 스크립트는 FIPS가 활성화되어 있는지 여부를 감지하고 FIPS 140-3을 준수하는 암호화 유형만 사용하도록 IdM을 구성합니다.

  • aes128-sha2:normal
  • aes128-sha2:special
  • aes256-sha2:normal
  • aes256-sha2:special

IdM 환경이 FIPS와 호환되려면 모든 IdM 복제본이 FIPS 모드를 활성화해야 합니다.

특히 이러한 클라이언트를 IdM 복제본으로 승격할 수 있는 경우 IdM 클라이언트에서 FIPS를 활성화하는 것이 좋습니다. 궁극적으로 FIPS 요구 사항을 충족하는 방법을 결정하는 것은 관리자에게 달려 있습니다. Red Hat은 FIPS 기준을 강제하지 않습니다.

FIPS 호환 IdM으로 마이그레이션

비FIPS 환경에서 FIPS 호환 설치로 기존 IdM 설치를 마이그레이션할 수 없습니다. 이는 기술적 문제가 아니라 법률 및 규제 제한입니다.

FIPS 호환 시스템을 사용하려면 FIPS 모드에서 모든 암호화 키 자료를 생성해야 합니다. 또한 암호화 키 자료는 안전하게 래핑되고 비FIPS 환경에서 래핑되지 않는 한 FIPS 환경을 남겨 두지 않아야 합니다.

시나리오를 FIPS 호환 IdM 영역으로 마이그레이션해야 하는 경우 다음을 수행해야 합니다.

  1. FIPS 모드에서 새 IdM 영역 생성
  2. 모든 주요 자료를 차단하는 필터를 사용하여 비FIPS 영역에서 새 FIPS 모드 영역으로 데이터 마이그레이션을 수행합니다.

마이그레이션 필터는 차단해야 합니다.

  • KDC 마스터 키, 키탭 및 모든 관련 Kerberos 키 자료
  • 사용자 암호
  • CA, 서비스 및 사용자 인증서를 포함한 모든 인증서
  • OTP 토큰
  • SSH 키 및 지문
  • DNSSEC KSK 및 ZSK
  • 모든 자격 증명 모음 항목
  • AD 신뢰 관련 주요 자료

효과적으로 새 FIPS 설치는 다른 설치입니다. 엄격한 필터링에도 불구하고 이러한 마이그레이션은 FIPS 140 인증을 통과하지 못할 수 있습니다. FIPS 감사자는 이 마이그레이션에 플래그를 지정할 수 있습니다.

FIPS 모드가 활성화된 교차 포리스트 신뢰 지원

FIPS 모드가 활성화된 동안 AD(Active Directory) 도메인을 사용하여 교차 포리스트 신뢰를 설정하려면 AD 관리자 계정으로 인증해야 합니다. FIPS 모드가 활성화된 동안 공유 보안을 사용하여 신뢰를 설정할 수 없습니다.

중요

RADIUS 인증은 FIPS와 호환되지 않습니다. RADIUS 인증이 필요한 경우 FIPS 모드가 활성화된 서버에 IdM을 설치하지 마십시오.

추가 리소스