7.7. Identitätsmanagement (Maschinenübersetzung)

Der KCM Credential Cache ist nicht für eine große Anzahl von Anmeldeinformationen in einem einzigen Credential Cache geeignet

Wenn der Credential-Cache zu viele Anmeldeinformationen enthält, schlagen Kerberos-Operationen, wie z.B. kinit, fehl, da der Puffer für den Datentransfer zwischen der sssd-kcm-Komponente und der zugrunde liegenden Datenbank fest programmiert ist.

Um dieses Problem zu umgehen, fügen Sie die ccache_storage = memoryOption im kcm-Bereich der /etc/sssd/sssd.confDatei hinzu. Dadurch wird der kcm-Responder angewiesen, die Credential-Caches nur im Speicher zu speichern, nicht dauerhaft. Wenn Sie dies tun, werden durch einen Neustart des Systems oder sssd-kcm die Credential-Caches gelöscht. Beachten Sie, dass KCM Cachegrößen von bis zu 64 kB verarbeiten kann.

(BZ#1448094)

Widersprüchliche Timeout-Werte verhindern, dass sich SSSD mit Servern verbindet

Einige der Standard-Timeout-Werte, die sich auf die Failover-Operationen beziehen, die vom System Security Services Daemon (SSSD) verwendet werden, sind widersprüchlich. Folglich verhindert der Timeout-Wert, der für SSSD für die Kommunikation mit einem einzelnen Server reserviert ist, dass SSSD vor dem Verbindungsvorgang andere Server als Ganzes ausprobiert. Um das Problem zu umgehen, setzen Sie den Wert des ldap_opt_timeoutTimeout-Parameters höher als den Wert des dns_resolver_timeoutParameters und den Wert des dns_resolver_timeoutParameters höher als den Wert des dns_resolver_op_timeoutParameters.

(BZ#1382750)

Die Verwendung einer Smartcard zur Anmeldung am IdM-Web-UI funktioniert nicht

Wenn ein Benutzer versucht, sich mit einem auf seiner Smartcard gespeicherten Zertifikat in die Web-Benutzeroberfläche des Identity Management (IdM) einzuloggen, verwendet der D-Bus-Schnittstellencode des System Security Services Daemon (SSSD) einen falschen Callback, um den Benutzer nachzuschlagen. Infolgedessen stürzt das Lookup ab. Um das Problem zu umgehen, verwenden Sie andere Methoden der Authentifizierung.

(BZ#1642508)

IdM-Server funktioniert nicht in FIPS

Aufgrund einer unvollständigen Implementierung des SSL-Konnektors für Tomcat funktioniert ein IdM-Server mit installiertem Zertifikatsserver auf Maschinen mit aktiviertem FIPS-Modus nicht.

(BZ#1673296)

Der nuxwdogDienst schlägt in HSM-Umgebungen fehl und erfordert die Installation des keyutilsPakets in Nicht-HSM-Umgebungen

Der nuxwdogWatchdog-Service wurde in das Zertifikatssystem integriert. Infolgedessen nuxwdogwird es nicht mehr als separates Paket angeboten. Um den Watchdog-Dienst zu nutzen, installieren Sie das pki-serverPaket.

Beachten Sie, dass der nuxwdogDienst folgende bekannte Probleme hat:

  • Der nuxwdogDienst funktioniert nicht, wenn Sie ein Hardware-Speichermodul (HSM) verwenden. Für dieses Problem ist kein Workaround verfügbar.
  • In einer Nicht-HSM-Umgebung installiert Red Hat Enterprise Linux 8.0 das keyutilsPaket nicht automatisch als Abhängigkeit. Um das Paket manuell zu installieren, verwenden Sie den dnf install keyutilsBefehl.

(BZ#1652269)