5.7.10. ID 管理
/etc/nsswitch.conf
を変更するには、手動によるシステムの再起動が必要です。
authselect select profile_id
コマンドの実行など、/etc/nsswitch.conf
ファイルを変更した場合は、関連するすべてのプロセスで、更新バージョンの /etc/nsswitch.conf
ファイルが使用されるように、システムを再起動する必要があります。システムを再起動できない場合は、システムを Active Directory (System Security Services Daemon
(SSSD) または winbind
) に追加するサービスを再起動します。
files
ドメインが有効である場合は、SSSD が、ローカルユーザーの LDAP グループメンバーシップを誤って返します。
System Security Services Daemon (SSSD) が、ローカルファイルからユーザーを提供し、sssd.conf
ファイルの [domain/LDAP] セクションの ldap_rfc2307_fallback_to_local_users
属性が True に設定されている場合は、ファイルのプロバイダーには他のドメインのグループメンバーシップが含まれません。これにより、ローカルユーザーが LDAP グループのメンバーである場合、id local_user
コマンドはユーザーの LDAP グループメンバーシップを返しません。この問題を回避するには、暗示の files
ドメインを無効にするため、次の
enable_files_domain=False
を /etc/sssd/sssd.conf
ファイルの [sssd]
セクションに追加します。
これにより、id local_user
が、ローカルユーザーの正しい LDAP グループメンバーシップを返します。
SSSD が同じ優先順位を持つ複数の証明書一致ルールを正しく処理しません。
指定した証明書が、優先順位が同じ複数の証明書の一致ルールに一致する場合、System Security Services Daemon (SSSD) は、いずれか一方のみを使用します。これを回避するには、|
(or) 演算子で連結した個々のルールのフィルターで設定される LDAP フィルターを持つ 1 つの証明書一致ルールを使用します。証明書一致ルールの例は、man ページの sss-certamp (5) を参照してください。
(BZ#1447945)
複数のドメインが定義されている場合は、プライベートグループを auto_private_group = hybrid で作成できません。
複数のドメインが定義され、最初のドメイン以外のドメインによってハイブリッドオプションが使用されると、プライベートグループは、auto_private_group = hybrid オプションでの作成に失敗します。暗黙的なファイルドメインが sssd.conf
ファイルの AD または LDAP ドメインとともに定義され、MPG_HYBRID
としてマークされていない場合、SSSD は uid=gid のユーザーに対してプライベートグループを作成し、この gid を持つグループは AD または LDAP に存在しません。
sssd_nss レスポンダーは、最初のドメインの auto_private_groups
オプションの値のみを確認します。これにより、RHEL 8 でデフォルトのセットアップを含む、複数のドメインが設定されているセットアップでは、auto_private_group
オプションを指定しても効果が得られません。
この問題を回避するには、sssd.conf
の sssd セクションで enable_files_domain = false
を設定します。その結果、enable_files_domain
オプションが false に設定されていると、sssd は、アクティブなドメイン一覧の開始に id_provider=files
とともにドメインを追加しないため、このバグは発生しません。
(BZ#1754871)
python-ply
は FIPS との互換性がありません。
python-ply
パッケージの YACC モジュールは、MD5 ハッシュアルゴリズムを使用して YACC 署名のフィンガープリントを生成します。ただし、FIPS モードは、セキュリティー以外のコンテキストでのみ許可される MD5 の使用をブロックします。そのため、python-ply は FIPS と互換性がありません。FIPS モードのシステムでは、ply.yacc()
への呼び出しに失敗し、次のエラーメッセージが表示されます。
UnboundLocalError: local variable 'sig' referenced before assignment
この問題は python-pycparser
および python-cffi
のいくつかのユースケースに影響します。この問題を回避するには、/usr/lib/python3.6/site-packages/ply/yacc.py
ファイルの 2966 行目を変更し、sig = md5()
を sig = md5(usedforsecurity=Fals)
に置き換えます。これにより、python-ply
を FIPS モードで使用できます。
FreeRADIUS が 249 文字を超える Tunnel-Passwords を断りなく切り捨てます。
Tunnel-Password が 249 文字を超える場合、FreeRADIUS サービスはそのパスワードを断りなく切り捨てます。これにより、他のシステムと矛盾する想定外のパスワードになる可能性があります。
この問題を回避するには、249 文字以下のパスワードを選択します。
すべての KRA メンバーが非表示レプリカの場合は、KRA のインストールに失敗します。
最初の KRA インスタンスが非表示レプリカにインストールされている場合、Key Recovery Authority (KRA) がすでに存在するクラスターでは ipa-kra-install
ユーティリティーで問題が発生します。そのため、これ以上、追加の KRA インスタンスをクラスターに追加することはできません。
この問題を回避するには、新しい KRA インスタンスを追加する前に、KRA ロールが割り当てられた非表示レプリカを解除します。Ipa-kra-install
が正常に終了してから、レプリカを再度非表示にできます。
Directory Server は、検索フィルターで使用されている属性がスキーマに欠如している場合に警告します。
nsslapd-verify-filter-schema
パラメーターを warn-invalid
に設定している場合、Directory Server は、スキーマで定義されていない属性で検索操作を処理し、警告を記録します。この設定では、属性がスキーマに定義されているかどうかにかかわらず、Directory Server は検索結果で要求された属性を返します。
Directory Server の今後のバージョンでは、nsslapd-verify-filter-schema
のデフォルト設定が厳格なチェックを実施するように変更されます。新しいデフォルトでは、スキーマで欠如している属性について警告し、リクエストを拒否するか、または部分的な結果のみを返します。
ipa-healthcheck-0.4
は古いバージョンの ipa-healthcheck
を廃止しません
Healthcheck
ツールは、ipa-healthcheck
と ipa-healthcheck-core
2 つのサブパッケージに分割されました。ただし、ipa-healthcheck-core
サブパッケージのみが古いバージョンの ipa-healthcheck
に正しく設定されています。その結果、Healthcheck
を更新すると ipa-healthcheck-core
のみがインストールされ、更新後に ipa-healthcheck
コマンドが機能しなくなります。
この問題を回避するには、yum install ipa-healthcheck-0.4
を使用して ipa-healthcheck-0.4
サブパッケージを手動でインストールします。