7.7. Gestión de identidades (traducción automática)

La caché de credenciales de KCM no es adecuada para un gran número de credenciales en una única caché de credenciales

Si la caché de credenciales contiene demasiadas credenciales, las operaciones de Kerberos, como kinit, fallan debido a un límite de código duro en el búfer utilizado para transferir datos entre el componente sssd-kcm y la base de datos subyacente.

Para solucionar este problema, añada la ccache_storage = memoryopción en la sección kcm del /etc/sssd/sssd.confarchivo. Esto le indica al kcm responder que sólo almacene las cachés de credenciales en memoria, no de forma persistente. Si hace esto, reiniciar el sistema o sssd-kcm borra las cachés de credenciales. Tenga en cuenta que KCM puede manejar tamaños de caché de hasta 64 kB.

(BZ#1448094)

Los valores de tiempo de espera en conflicto impiden que los SSSD se conecten a los servidores

Algunos de los valores de tiempo de espera predeterminados relacionados con las operaciones de conmutación por error utilizadas por el demonio de los servicios de seguridad del sistema (SSSD) son contradictorios. Por consiguiente, el valor de tiempo de espera reservado para que los SSSD hablen con un único servidor impide que los SSSD prueben otros servidores antes de la operación de conexión en su totalidad. Para solucionar el problema, establezca el valor del parámetro ldap_opt_timeouttimeout por encima del valor del dns_resolver_timeoutparámetro, y establezca el valor del dns_resolver_timeoutparámetro por encima del valor del dns_resolver_op_timeoutparámetro.

(BZ#1382750)

El uso de una tarjeta inteligente para iniciar sesión en la interfaz web de IdM no funciona

Cuando un usuario intenta iniciar sesión en la interfaz web de gestión de identidades (IdM) utilizando un certificado almacenado en su tarjeta inteligente, el código de interfaz D-Bus del demonio de servicios de seguridad del sistema (SSSD) utiliza una llamada de retorno incorrecta para buscar al usuario. En consecuencia, la búsqueda se bloquea. Para solucionar el problema, utilice otros métodos de autenticación.

(BZ#1642508)

El servidor IdM no funciona en FIPS

Debido a una implementación incompleta del conector SSL para Tomcat, un servidor IdM con un servidor de certificados instalado no funciona en máquinas con el modo FIPS activado.

(BZ#1673296)

El nuxwdogservicio falla en entornos HSM y requiere la instalación del keyutilspaquete en entornos no HSM

El servicio de nuxwdogvigilancia se ha integrado en el sistema de certificados. Como consecuencia, nuxwdogya no se ofrece como un paquete separado. Para utilizar el servicio watchdog, instale el pki-serverpaquete.

Tenga en cuenta que el nuxwdogservicio tiene los siguientes problemas conocidos:

  • El nuxwdogservicio no funciona si utiliza un módulo de almacenamiento de hardware (HSM). Para este número, no se dispone de soluciones alternativas.
  • En un entorno que no sea HSM, Red Hat Enterprise Linux 8.0 no instala automáticamente el keyutilspaquete como una dependencia. Para instalar el paquete manualmente, use el dnf install keyutilscomando.

(BZ#1652269)