Show Table of Contents
グループの検索時に
負荷が高いと
第40章 認証および相互運用性
グループの検索時に sudo が予期せずアクセスを拒否する
この問題は、システムで以下の条件が合致する場合に発生します。
filesやsssなどの複数の Name Service Switch (NSS) ソースで利用可能なsudoersにおいてグループ名が設定されている。- NSS 優先順位がローカルグループの定義に設定されている。
/etc/nsswitch.confファイルに以下の行が含まれると、これに該当します。
sudoers: files sss
match_group_by_gidという名前のsudoのデフォルトオプションがtrueに設定されている。これがこのオプションのデフォルト値です。
NSS ソースの優先順位のために、
sudo ユーティリティーが指定されたグループの GID 検索を試みると、sudo はローカルグループの定義のみを記述した結果を受け取ります。このため、ユーザーがローカルグループではなくリモートグループに属している場合、sudoers ルールが一致せず、sudo がアクセスを拒否します。
この問題を回避するには、以下のいずれかを実行します。
sudoersのmatch_group_by_gidのデフォルト値を明示的に無効にする。/etc/sudoersファイルを開いて以下の行を追加します。
Defaults !match_group_by_gid
- NSS が
filesよりもsssNSS ソースを優先するように設定する。/etc/nsswitch.confファイルを開いてsssがfilesの前に来るようにします。
sudoers: sss files
こうすることで、
sudo はリモートグループに属するユーザーにアクセスを許可します。(BZ#1293306)
FIPS モードのシステムで CS が Thales HSM とのインストールに失敗する
証明書システム (CS) を Thales ハードウェアセキュリティーモジュール (HSM) とインストールした後、HSM でシステムキーすべてを生成すると、SSL プロトコル が正常に機能しません。このため、CS は FIPS モードが有効になっているシステムでのインストールに失敗します。
この問題を回避するには、2 段階の CS インストール中に、
/etc/[instance_name]/server.xml ファイル内の sslRangeCiphers パラメーターを以下のように修正します。
- 下記のようにプラス記号 (+) を追加して、この暗号を有効にします。
+TLS_DHE_RSA_WITH_AES_128_CBC_SHA,+TLS_DHE_RSA_ WITH_AES_256_CBC_SHA,+TLS_DHE_RSA_WITH_AES_128_ CBC_SHA256,+TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 ,+TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,+TLS_RSA_ WITH_AES_128_CBC_SHA256,+TLS_RSA_WITH_AES_256_C BC_SHA256
- 他のすべての暗号にマイナス記号 (-) を追加して、無効にします。例を示します。
-TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,-TLS_ECDH_ ECDSA_WITH_3DES_EDE_CBC_SHA
(BZ#1382066)
KCM 認証情報キャッシュが単一の認証情報キャッシュにおける多数の認証情報に適切でない
認証情報キャッシュに過剰な認証情報が含まれると、
sssd-kcm と sssd-secrets のコンポーネント間の移動に使用されるバッファーのハードコーディング制限のために、klist のような Kerberos 操作が失敗します。
この問題を回避するには、
/etc/sssd/sssd.conf ファイルの [kcm] セクションに ccache_storage = memory オプションを追加します。これは、kcm レスポンダーに対してインメモリーでのみ認証情報をキャッシュし、永続的にはキャッシュしないように指示します。これを実行した場合は、システムを再起動するか sssd-kcm を実行して認証情報キャッシュをクリアしてください。(BZ#1448094)
負荷が高いと sssd-secrets コンポーネントがクラッシュする
sssd-secrets コンポーネントが多数のリクエストを受け付けると、Network Security Services (NSS) ライブラリーにバグが発生し、sssd-secrets が予期せず終了します。ただし、systemd サービスが次のリクエストで sssd-secrets を再起動するので、サービス拒否は一時的なものになります。(BZ#1460689)
SSSD が同一優先順位の証明書の一致ルールを正常に処理しない
ある証明書が優先順位が同じ複数の証明書一致ルールに一致する場合、System Security Services Daemon (SSSD) は 1 つのルールしか使用しません。回避策として挙げられるのは、単一の証明書一致ルールを使用することで、このルールの LDAP フィルターが
| (or) 演算子で連結されている個別のルールのフィルターで構成されているものにします。証明書一致ルールの例については、sss-certamp(5) man ページを参照してください。(BZ#1447945)
SSSD が ID 上書きで一意の証明書しか検索できない
複数の ID 上書きに同一の証明書が含まれていると、System Security Services Daemon (SSSD) は証明書に一致するユーザーのクエリーを解決することができません。そのようなユーザーの検索を試行しても、ユーザーは返されません。ユーザー名または UID を使ったユーザー検索は予想通り機能することに留意してください。(BZ#1446101)
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.