第20章 認証および相互運用性

root ディレクトリー共有時に SELinux の enforcing モードを使用しないでください

Samba は、SELinux が enforcing モードの際に共有ディレクトリーに samba_share_t のラベル付けをする必要があります。しかし、/etc/samba/smb.conf ファイルの path = / 設定を使用してシステムの root ディレクトリー全体を共有する場合、root ディレクトリーに samba_share_t のラベル付けを行うと、重大なシステム異常が発生します。
Red Hatは、ユーザーがルートディレクトリに samba_share_t ラベル。したがって、Sambaを使用してルートディレクトリを共有する場合、SELinuxを強制モードで使用しないでください。 (BZ#1320172)

SSSD が LDAP externalUser 属性に対応しない

システムセキュリティサービスデーモン(SSSD)サービスに externalUser ID管理(IdM)スキーマのLDAP属性。その結果、 sudo ルールをローカルアカウントに適用するなど /etc/passwd ファイル、失敗します。この問題は、IdMドメインおよびActive Directory(AD)の信頼されたドメイン以外のアカウントにのみ影響します。
この問題を回避するには、/etc/sssd/sssd.conf ファイルの [domain] セクションで LDAP sudo search base を以下のように設定します。 
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
これにより、SSSDは、 externalUser。 (BZ#1321884

SSSDがAD環境でローカルオーバーライドを間違って作成する

sss_override ツールは、大文字と小文字を区別しない識別名(DN)を作成します。 id_provider オプションがに設定されています ad の中に /etc/sssd/sssd.conf ファイル。ただし、SSSDキャッシュ内のDNは大文字小文字を区別して格納されます。したがって、Active Directory(AD)サブドメインのユーザーまたは大文字と小文字の大文字と小文字のアカウント名を持つユーザーに対しては、ローカルの上書きは作成されません。 (BZ#1327272

sssd_be forkされた子プロセスを終了させない

いつ id_provider オプションがに設定されています ad の中に /etc/sssd/sssd.conf ファイル、内部のヘルパープロセス sssd_be プロセスが失敗することがあります。結果として、プロセスは新しいものを生み出しています sssd_be 追加のメモリを消費するインスタンス。この問題を回避するには、 adcli パッケージを作成し、再起動します sssd デーモン。 (BZ#1336453)

SSSD が IdM LDAP ツリーからの sudo ルールの管理に失敗する

システムセキュリティサービスデーモン(SSSD)は現在、デフォルトでIdM LDAPツリーを使用しています。その結果、非POSIXグループにsudoルールを割り当てることはできません。この問題を回避するには、 /etc/sssd/sssd.conf ファイルを使用してドメインを設定する compat 再びツリー: 
[domain/EXAMPLE]
...
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
こうすることで、SSSD は sudo ルールを compat ツリーから読み込むようになり、ルールを非 POSIX グループに割り当てることができるようになります。
Red Hatは、sudoルールで参照されるグループをPOSIXグループとして設定することを推奨しています。

HPキーボードKUS1206はスマートカードを正しく処理せず、応答しなくなることがあります

スマートカードリーダーを内蔵したHPキーボードKUS1206を使用すると、次のような問題が発生する可能性があります。
  • キーボードがスマートカードを一貫して検出しない。
  • ユーザーがパスワードを使用してシステムにログインし、スマートカードが挿入されていない場合、次のメッセージが /var/log/messages ファイル: 
    pcscd:commands.c:957:CmdGetSlotStatusカードが存在しないか、ミュートされている
  • キーボードが応答しなくなることがあります。