Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第32章 認証および相互運用性
Kerberos チケット要求は短期間拒否されます。
Active Directory のバグにより、短期間(通常は 3 分未満)の Kerberos チケット要求が拒否されます。この問題を回避するには、代わりに、有効期間が長い(5 分の)チケットをリクエストしてください。
Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンへのレプリケーションに失敗する
現在、Camellia Kerberos 暗号化タイプ(enctypes)は、krb5、krb5-libs、krb5-server パッケージに可能なデフォルトのエンクロープとして含まれています。その結果、Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンへのレプリケーションが失敗し、エラーメッセージが表示されます。この問題を回避するには、デフォルトのエンクロープ制御を使用するか、使用する暗号化タイプ kadmin または ipa-getkeytab に指示します。
SSSD の起動時に無害なエラーメッセージがログに記録される
SSSD が AD サーバーと信頼関係を確立していない IdM サーバーに接続されている場合は、起動時に以下の有害なエラーメッセージが SSSD ドメインログに出力されます。
内部エラー(メモリーバッファーエラー)
無害なエラーメッセージが発生するのを防ぐには、環境が信頼できるドメインを設定することを期待しない場合は、sssd.conf ファイルで
subdomains_provider を none に設定します。
最近生成された DNSSEC キーを持つ DNS ゾーンが適切に署名されていない
IdM は、最近生成された DNSSEC (DNS Security Extensions)鍵で DNS ゾーンを適切に署名しません。このような状況では、named-pkcs11 サービスが以下のエラーをログに記録します。
属性が存在しない:0x00000002
このバグは、DNSSEC キーの生成と分散プロセスの競合状態エラーが原因で発生します。競合状態により、named-pkcs11 が新しい DNSSEC キーにアクセスできなくなります。
この問題を回避するには、影響を受けるサーバーで named-pkcs11 を再起動します。再起動後、DNS ゾーンが適切に署名されます。DNSSEC キーが再び変更された後にバグが再表示される可能性があることに注意してください。
実行中に realmd を更新すると、古い realmd バージョンが開始されます。
realmd デーモンは、要求されたときにのみ起動し、指定のアクションを実行し、しばらくするとタイムアウトします。realmd が実行中に realmd を更新すると、更新後に realmd は再起動されないため、次の要求時に古いバージョンの realmd が起動します。この問題を回避するには、更新する前に reamld が実行されていないことを確認してください。
ipa-server-install および ipa-replica-install がオプションを検証しない
ipa-server-install ユーティリティーおよび ipa-replica-install ユーティリティーは、現在、提供されたオプションを検証しません。ユーザーが誤った値をユーティリティーに渡すと、インストールに失敗します。この問題を回避するには、正しい値を指定してから、ユーティリティーを再度実行してください。
必要な openssl バージョンがインストールされていないと、ipa パッケージのアップグレードに失敗する
ユーザーが
ipa パッケージのアップグレードを試みると、Identity Management (IdM)は、必要なバージョンの openssl パッケージを自動的にインストールしません。したがって、ユーザーが yum update ipa* コマンドを実行する前に 1.0.1e-42 バージョンの openssl がインストールされないと、DNSKeySync サービスの設定時にアップグレードに失敗します。
この問題を回避するには、
ipa を更新する前に、openssl をバージョン 1.0.1e-42 以降に手動で更新します。これにより、アップグレードの失敗が回避されます。
