Documentation for a newer release is available. View Latest

도메인 제어기

삼바 변경

삼바 프로젝트는 MIT Kerberos를 지원하기에 삼바 AC DC의 변환을 완료했습니다. 페도라 27은 삼바 AD 도메인 제어기 기능을 포함하는 최초의 페도라 버전입니다.

삼바 AD 프로세서는 MIT KDC 시작을 처리 할 것이고 이는 KDB(커버러스 데이타베이스) 드라이버를 적재하여 삼바 AD 데이타베이스에 접근 할 것입니다. '삼바-도구’를 사용하는 AD DC 프로비져닝 할 때에 이는 MIT KDC를 위해 올바른 kdc.conf 파일 생성을 사용 할 것입니다.

보다 상세히 하려면 , 업스트림 문서을 참고하세요.

기록하는데 중요한 변경:

  • 두 개의 다른 배포 방법은 지금 다음 삼바 도메인 제어기를 지원합니다:

    • 전통적인 도메인 제어기(NT-형태의 도메인 제어기)

    • 활성화된 디렉토리 도메인 제어기(신규 방법).

  • 삼바가 버전 4.7로 향샹되었습니다.

  • client max protocol`을 위한 기본값은 `SMB3_11`으로 변경되었고, 이는 `smbclient (및 연관된 명령)가 SMB1 지원 없이 서버를 통해 동작하는 것을 의미합니다. 이는 m/--max-protocol 옵션을 사용 할 수 있고 client max protocol 옵션을 임시적으로 덮어 쓸 수 있습니다.

  • smbclient (옵션 -e/--encrypt)의 암호화 지원은 SMB3 서버 뿐만 아니라 (윈도우 서버 2012 이상, Samba 4.0.0 이상)도 동작합니다.

  • 기본 값으로 SMB3_11 변경은 기본 값으로 smbclient`가 더 이상 `unix extensions = yes`인 삼바 서버로 대화를 할 때에 `SMB1 유닉스 확장과 협상하지 않음을 의미합니다. 결과적으로, 일부 명령 (예:`posix_encrypt`, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami, getfacl and symlink)을 사용 할 수 없습니다. 만약 서버가 SMB를 지원하는 경우에 -mNT1 를 사용하면 이를 다시 활성화 할 수 있습니다.

  • `smbclient`는 디렉토리 트리를 반복적으로 삭제 할 수 있는 신규 명령 'deltree’를 학습했습니다.

  • RPC 서버를 위한 동적 포트 범위는 오래된 기본 값 1024-1300`에서 `49152-65535`로 변경되었습니다. 이와 같은 포트 변경은 삼바 AC DC에 의해서 사용되지 않지만 NT4-유형의 도메인 제어기를 포함하는 다른 모든 서버 역할에도 적용됩니다. 신규 값은 MS 윈도우 서버 2008 및 신규 버전에서 MS에 의해 정의되었습니다. 이들 포트 범위를 제어하는 관리자를 위해 보다 쉽게 만들려면 동일한 기본 값을 사용하고 옵션을 사용해 구성 할 수 있도록 합니다: `rpc 서버 동적 포트 범위. rpc 서버 포트 옵션은 신규 rpc 서버 동적 포트 범위 옵션에서 처음 사용 할 수 있는 포트를 설정합니다. 옵션 `rpc 서버 포트`는 AC DC로 사용하도록 준비된 삼바에서만 적용합니다.

MIT 커버러스와 함께 삼바 AC DC는 헤임달 커버러스 제작의 모든 기능을 가지고 있지 않습니다. 헤임달 커버러스 제작에서 비교되는 누락된 기능은 다음과 같습니다:

  • PKINIT 지원

  • S4U2SELF/S4U2PROXY 지원

  • 읽기-전용 도메인 제어기 지원 (RODC). 이와 같은 기능은 헤임달(Heimdal) 커버러스 빌드에서도 완전히 동작하지 않습니다.

FreeIPA 변경사항

FreeIPA는 버전 4.6으로 향상되었습니다. 이는 파이썬 3를 지원하는 주요 FreeIPA 출시입니다.

페도라 26에서 탑재된 FreeIPA 4.4와 비교되는 다음과 같은 주요 변경사항:

  • FreeIPA는 이제 파이썬3을 사용합니다

  • 보안 기본값은 페도라의 잔여 페도라와 일치합니다. 특히, 새롭게 사건화된 인증서는 SHA-256입니다.

  • 스마트카드 지원은 FreeIPA와 SSSD에 추가되었습니다. 신규 'ipa-advise 비법은 스마트 카드 인증을 지원하는 FreeIPA-등록된 클라이언트와 서버를 구성하는 데 사용 할 수 있습니다.

  • FreeIPA 웹 UI는 이제 스마트카드 보안을 사용하여 접근 될 수 있습니다. 이와 같은 기능은 기본적으로 활성화 될 수 없습니다.

  • 커버러스 PKINIT는 통합 인증 기관과 함께 신규 설치에서 기본 값으로 활성화됩니다. 이는 스마트카드를 사용하여 FreeIPA-등록된 호스트에 로그인 하고 커버러스 티켓을 획득합니다.

  • 커버러스 인증 지시자 pkinit`는 커버러스 PKINT 사전-인증이 성공 되었을 때에 자동으로 발행됩니다. 결과적으로, 증가된 보안 요구 사항은 접근하기 전에 스마트 카드(`pkinit), 다중-요소(otp) 또는 RADIUS(radius) 인증만 필요한 Kerberos 서비스에 할당 할 수 있습니다.

  • 신뢰 할 수 있는 동적 디렉토리 도메인에서 사용자는 이제 FreeIPA 웹 UI에 로그인 할 수 있고 손수 작업을 수행합니다.

  • FreeIPA는 이제 FIPS 140-2 요구 사항으로 필요한 환경에 설치 될 수 있습니다.