Red Hat Training

A Red Hat training course is available for RHEL 8

7.7. Gestione dell'identità (traduzione automatica)

La cache delle credenziali KCM non è adatta per un gran numero di credenziali in una singola cache delle credenziali

Se la cache delle credenziali contiene troppe credenziali, le operazioni di Kerberos, come kinit, falliscono a causa di un limite hardcoded sul buffer utilizzato per trasferire dati tra il componente sssd-kcm e il database sottostante.

Per risolvere questo problema, aggiungere l'ccache_storage = memoryopzione nella sezione kcm del /etc/sssd/sssd.conffile. Questo istruisce il responder kcm per memorizzare solo le credenziali cache in-memoria, non in modo persistente. In questo caso, riavviare il sistema o sssd-kcm cancella le cache delle credenziali. Si noti che KCM può gestire cache di dimensioni fino a 64 kB.

(BZ#1448094)

Valori di timeout contrastanti impediscono a SSSD di connettersi ai server

Alcuni dei valori di timeout predefiniti relativi alle operazioni di failover utilizzati dal demone System Security Services Daemon (SSSD) sono in conflitto. Di conseguenza, il valore di timeout riservato a SSSD per parlare con un singolo server impedisce a SSSD di provare altri server prima dell'operazione di connessione. Per risolvere il problema, impostare il valore del parametro ldap_opt_timeouttimeout superiore al valore del dns_resolver_timeoutparametro e il valore del dns_resolver_timeoutparametro superiore al valore del dns_resolver_op_timeoutparametro.

(BZ#1382750)

L'utilizzo di una smart card per accedere all'IdM web UI non funziona

Quando un utente tenta di accedere all'interfaccia web di Identity Management (IdM) utilizzando un certificato memorizzato sulla propria smart card, il codice di interfaccia D-Bus di System Security Services Daemon (SSSD) utilizza un richiamo errato per cercare l'utente. Di conseguenza, la ricerca va in crash. Per risolvere il problema, utilizzare altri metodi di autenticazione.

(BZ#1642508)

Il server IdM non funziona in FIPS

A causa di un'implementazione incompleta del connettore SSL per Tomcat, un server IdM con un server di certificazione installato non funziona su macchine con la modalità FIPS abilitata.

(BZ#1673296)

Il nuxwdogservizio fallisce in ambienti HSM e richiede l'installazione del keyutilspacchetto in ambienti non HSM

Il servizio nuxwdogwatchdog è stato integrato nel sistema di certificazione. Di conseguenza, non nuxwdogè più fornito come pacchetto separato. Per utilizzare il servizio watchdog, installare il pki-serverpacchetto.

Si noti che il nuxwdogservizio ha i seguenti problemi noti:

  • Il nuxwdogservizio non funziona se si utilizza un modulo di archiviazione hardware (HSM). Per questo numero non sono disponibili soluzioni alternative.
  • In un ambiente non HSM, Red Hat Enterprise Linux 8.0 non installa automaticamente il keyutilspacchetto come dipendenza. Per installare manualmente il pacchetto, utilizzare il dnf install keyutilscomando.

(BZ#1652269)