5.7.10. ID 管理
/etc/nsswitch.conf を変更するには、手動によるシステムの再起動が必要です。
authselect select profile_id コマンドの実行など、/etc/nsswitch.conf ファイルを変更した場合は、関連するすべてのプロセスで、更新バージョンの /etc/nsswitch.conf ファイルが使用されるように、システムを再起動する必要があります。システムを再起動できない場合は、システムを Active Directory (System Security Services Daemon (SSSD) または winbind) に追加するサービスを再起動します。
files ドメインが有効である場合は、SSSD が、ローカルユーザーの LDAP グループメンバーシップを誤って返します。
System Security Services Daemon (SSSD) が、ローカルファイルからユーザーを提供し、sssd.conf ファイルの [domain/LDAP] セクションのldap_rfc2307_fallback_to_local_users 属性が True に設定されている場合は、ファイルのプロバイダーには他のドメインのグループメンバーシップが含まれません。これにより、ローカルユーザーが LDAP グループのメンバーである場合、id local_user コマンドはユーザーの LDAP グループメンバーシップを返しません。この問題を回避するには、暗示の files ドメインを無効にするため、次の
enable_files_domain=False
を /etc/sssd/sssd.conf ファイルの [sssd] セクションに追加します。
これにより、id local_user が、ローカルユーザーの正しい LDAP グループメンバーシップを返します。
SSSD が同じ優先順位を持つ複数の証明書一致ルールを正しく処理しません。
指定した証明書が、優先順位が同じ複数の証明書の一致ルールに一致する場合、System Security Services Daemon (SSSD) は、いずれか一方のみを使用します。これを回避するには、| (or) 演算子で連結した個々のルールのフィルターで構成される LDAP フィルターを持つ 1 つの証明書一致ルールを使用します。証明書一致ルールの例は、man ページの sss-certamp (5) を参照してください。
(BZ#1447945)
複数のドメインが定義されている場合は、プライベートグループを auto_private_group = hybrid で作成できません。
複数のドメインが定義され、最初のドメイン以外のドメインによってハイブリッドオプションが使用されると、プライベートグループは、auto_private_group = hybrid オプションでの作成に失敗します。暗黙的なファイルドメインが sssd.conf ファイルの AD または LDAP ドメインとともに定義され、MPG_HYBRID としてマークされていない場合、SSSD は uid=gid のユーザーに対してプライベートグループを作成し、この gid を持つグループは AD または LDAP に存在しません。
sssd_nss レスポンダーは、最初のドメインの auto_private_groups オプションの値のみを確認します。これにより、RHEL 8 でデフォルトのセットアップを含む、複数のドメインが設定されているセットアップでは、auto_private_group オプションを指定しても効果が得られません。
この問題を回避するには、sssd.conf の sssd セクションで enable_files_domain = false を設定します。その結果、enable_files_domain オプションが false に設定されていると、sssd は、アクティブなドメイン一覧の開始に id_provider=files とともにドメインを追加しないため、このバグは発生しません。
(BZ#1754871)
python-ply は FIPS との互換性がありません。
python-ply パッケージの YACC モジュールは、MD5 ハッシュアルゴリズムを使用して YACC 署名のフィンガープリントを生成します。ただし、FIPS モードは、セキュリティー以外のコンテキストでのみ許可される MD5 の使用をブロックします。そのため、python-ply は FIPS と互換性がありません。FIPS モードのシステムでは、ply.yacc() への呼び出しに失敗し、次のエラーメッセージが表示されます。
UnboundLocalError: local variable 'sig' referenced before assignment
この問題は python-pycparser および python-cffi のいくつかのユースケースに影響します。この問題を回避するには、/usr/lib/python3.6/site-packages/ply/yacc.py ファイルの 2966 行目を変更し、sig = md5() を sig = md5(usedforsecurity=Fals)に置き換えます。これにより、python-ply を FIPS モードで使用できます。
FreeRADIUS が 249 文字を超える Tunnel-Passwords を断りなく切り捨てます。
Tunnel-Password が 249 文字を超える場合、FreeRADIUS サービスはそのパスワードを断りなく切り捨てます。これにより、他のシステムと矛盾する想定外のパスワードになる可能性があります。
この問題を回避するには、249 文字以下のパスワードを選択します。
すべての KRA メンバーが非表示レプリカの場合は、KRA のインストールに失敗します。
最初の KRA インスタンスが非表示レプリカにインストールされている場合、Key Recovery Authority (KRA) がすでに存在するクラスターでは ipa-kra-install ユーティリティーで問題が発生します。そのため、これ以上、追加の KRA インスタンスをクラスターに追加することはできません。
この問題を回避するには、新しい KRA インスタンスを追加する前に、KRA ロールが割り当てられた非表示レプリカを解除します。Ipa-kra-install が正常に終了してから、レプリカを再度非表示にできます。
Directory Server は、検索フィルターで使用されている属性がスキーマに欠如している場合に警告します。
nsslapd-verify-filter-schema パラメーターを warn-invalid に設定している場合、Directory Server は、スキーマで定義されていない属性で検索操作を処理し、警告を記録します。この設定では、属性がスキーマに定義されているかどうかにかかわらず、Directory Server は検索結果で要求された属性を返します。
Directory Server の今後のバージョンでは、nsslapd-verify-filter-schema のデフォルト設定が厳格なチェックを実施するように変更されます。新しいデフォルトでは、スキーマで欠如している属性について警告し、リクエストを拒否するか、または部分的な結果のみを返します。
ipa-healthcheck-0.4は、古いバージョンのipa-healthcheckを廃止しません。
Healthcheckツールは、ipa-healthcheckとipa-healthcheck-core という 2 つのサブパッケージに分割されました。しかし、ipa-healthcheck-coreサブパッケージだけは、古いバージョンのipa-healthcheckを廃止するように正しく設定されています。その結果、Healthcheckをアップデートしてもipa-healthcheck-coreしかインストールされず、アップデート後にipa-healthcheckコマンドは動作しません。
この問題を回避するには、yum install ipa-healthcheck-0.4 を使用して、手動でipa-healthcheck-0.4サブパッケージをインストールします。