11.10. Gestión de la identidad

Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema

Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.

(BZ#1657295)

SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales cuando el dominio de archivos está habilitado

Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales y el atributo ldap_rfc2307_fallback_to_local_users de la sección [domain/LDAP] del archivo sssd. conf se establece como True, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar este problema, desactive el dominio de archivos implícito añadiendo

enable_files_domain=False

a la sección [sssd] en el archivo /etc/sssd/sssd.conf.

Como resultado, id local_user devuelve la pertenencia correcta al grupo LDAP para los usuarios locales.

(BZ#1652562)

SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad

Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).

(BZ#1447945)

Los grupos privados no se crean con auto_private_group = hybrid cuando se definen varios dominios

Los grupos privados no se crean con la opción auto_private_group = hybrid cuando se definen varios dominios y la opción hybrid se utiliza en cualquier dominio que no sea el primero. Si se define un dominio de archivos implícito junto con un dominio AD o LDAP en el archivo sssd.conf y no se marca como MPG_HYBRID, entonces SSSD falla al crear un grupo privado para un usuario que tiene uid=gid y el grupo con este gid no existe en AD o LDAP.

El respondedor sssd_nss comprueba el valor de la opción auto_private_groups sólo en el primer dominio. Como consecuencia, en las configuraciones en las que hay varios dominios configurados, lo que incluye la configuración por defecto en RHEL 8, la opción auto_private_group no tiene ningún efecto.

Para solucionar este problema, establezca enable_files_domain = false en la sección sssd de sssd.conf. Como resultado, si la opción enable_files_domain se establece en false, entonces sssd no añade un dominio con id_provider=files al principio de la lista de dominios activos, y por lo tanto no se produce este error.

(BZ#1754871)

python-ply no es compatible con FIPS

El módulo YACC del paquete python-ply utiliza el algoritmo hash MD5 para generar la huella digital de una firma YACC. Sin embargo, el modo FIPS bloquea el uso de MD5, que sólo está permitido en contextos no relacionados con la seguridad. Como consecuencia, python-ply no es compatible con FIPS. En un sistema en modo FIPS, todas las llamadas a ply.yacc.yacc() fallan con el mensaje de error:

UnboundLocalError: variable local 'sig' referenciada antes de la asignación

El problema afecta a python-pycparser y a algunos casos de uso de python-cffi. Para solucionar este problema, modifique la línea 2966 del archivo /usr/lib/python3.6/site-packages/ply/yacc.py, sustituyendo sig = md5() por sig = md5(usedforsecurity=False). Como resultado, python-ply puede utilizarse en modo FIPS.

(BZ#1747490)

FreeRADIUS trunca silenciosamente las contraseñas de túnel de más de 249 caracteres

Si una contraseña de túnel tiene más de 249 caracteres, el servicio FreeRADIUS la trunca silenciosamente. Esto puede dar lugar a incompatibilidades inesperadas de la contraseña con otros sistemas.

Para solucionar el problema, elige una contraseña de 249 caracteres o menos.

(BZ#1723362)

La instalación de KRA falla si todos los miembros de KRA son réplicas ocultas

La utilidad ipa-kra-install falla en un cluster donde la Autoridad de Recuperación de Claves (KRA) ya está presente si la primera instancia de KRA está instalada en una réplica oculta. En consecuencia, no se pueden añadir más instancias de KRA al clúster.

Para solucionar este problema, desoculte la réplica oculta que tiene el rol de KRA antes de añadir nuevas instancias de KRA. Puede volver a ocultarla cuando ipa-kra-install se complete con éxito.

(BZ#1816784)

Directory Server advierte sobre los atributos que faltan en el esquema si esos atributos se utilizan en un filtro de búsqueda

Si establece el parámetro nsslapd-verify-filter-schema como warn-invalid, Directory Server procesa las operaciones de búsqueda con atributos que no están definidos en el esquema y registra una advertencia. Con esta configuración, Directory Server devuelve los atributos solicitados en los resultados de la búsqueda, independientemente de si los atributos están definidos en el esquema o no.

Una futura versión de Directory Server cambiará la configuración por defecto de nsslapd-verify-filter-schema para aplicar comprobaciones más estrictas. El nuevo valor predeterminado advertirá sobre los atributos que faltan en el esquema, y rechazará las solicitudes o devolverá sólo resultados parciales.

(BZ#1790259)

ipa-healthcheck-0.4 no obvia las versiones anteriores de ipa-healthcheck

La herramienta Healthcheck se ha dividido en dos subpaquetes: ipa-healthcheck e ipa-healthcheck-core. Sin embargo, sólo el subpaquete ipa-healthcheck-core está correctamente configurado para obviar las versiones anteriores de ipa-healthcheck. Como resultado, al actualizar Healthcheck sólo se instala ipa-healthcheck-core y el comando ipa-healthcheck no funciona después de la actualización.

Para solucionar este problema, instale el subpaquete ipa-healthcheck-0. 4 manualmente utilizando yum install ipa-healthcheck-0.4.

(BZ#1852244)