第32章 認証および相互運用性

短いライフタイムの Kerberos チケットリクエストが拒否される

Active Directory のバグのために、短いライフタイム (通常、3 分未満) の Kerberos チケットリクエストは拒否されます。この問題を回避するには、代わりにライフタイムが長い (5 分以上) のチケットをリクエストします。

Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンへの複製が失敗する

現在は、Camellia Kerberos 暗号化タイプ (enctypes) が krb5、krb5-libs、krb5-server のパッケージにデフォルトとして使用可能な enctypes として含まれています。このため、Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンの複製はエラーメッセージが出て失敗します。この問題を回避するには、デフォルトの enctype 制御を使用するか、kadmin または ipa-getkeytab に使用する暗号化タイプを指示します。

無害のエラーメッセージが SSSD の開始時にログ記録される

AD との信頼関係が確立されていない IdM サーバーに SSSD が接続されると、以下の無害なエラーメッセージが開始時に SSSD ドメインログに記録されます。
Internal Error (Memory buffer error)
このエラメッセージを発生しないようにするには、信頼できるドメインを設定しない環境では、sssd.conf ファイルで subdomains_providernone に設定します。

DNS ゾーンが最近生成された DNSSEC キーで適切に署名されない

IdM が DNS ゾーンを最近生成された DNS Security Extensions (DNSSEC) キーで署名しません。この場合、named-pkcs11 サービスが以下のエラーを記録します。
The attribute does not exist: 0x00000002
このバグは、DNSSEC キー生成と配布プロセスとの競合状態エラーによって発生します。この競合状態のために、named-pkcs11 は新たな DNSSEC キーにアクセスできなくなります。
この問題を回避するには、影響を受けたサーバーで named-pkcs11 を再起動します。再起動後は、DNS ゾーンは正常に署名されます。DNSSEC キーが変更されると、このバグが再発生する可能性があることに注意してください。

realmd の実行中に realmd を更新すると、古いバージョンの realmd が起動される

realmd デーモンはリクエストされた時にのみ開始され、特定のアクションを実行した後は、一定の時間が経過するとタイムアウトします。realmd の実行中に更新されると、次回のリクエストでは古いバージョンの realmd が起動します。これは、更新後に realmd が再起動されていないためです。この問題を回避するには、更新時に reamld が実行中でないことを確認してください。

ipa-server-install と ipa-replica-install がオプションを検証しない

ipa-server-install および ipa-replica-install ユーティリティーは現在、提供されたオプションを検証しません。これらのユーティリティーに間違った値を渡すと、インストールは失敗します。この問題を回避するには、正しい値を渡すように確認してから再度ユーティリティーを実行します。

必要な openssl バージョンがインストールされていないと、ipa パッケージのアップグレードが失敗する

ipa パッケージのアップグレード時に、Identity Management (IdM) は必要となる openssl パッケージのバージョンを自動的にインストールしません。このため、ユーザーが yum update ipa* コマンドを実行する前に 1.0.1e-42 バージョンの openssl がインストールされていないと、DNSKeySync サービスの設定中にアップグレードが失敗します。
この問題を回避するには、ipa のアップグレード前に openssl を手動でバージョン 1.0.1e-42 以降に更新します。