5.7.10. IdM (Identity Management)
/etc/nsswitch.conf 를 변경하려면 수동 시스템 재부팅이 필요합니다
/etc/nsswitch.conf 파일을 변경하는 경우, 예를 들어 authselect select profile_id 명령을 실행하려면 모든 관련 프로세스에서 업데이트된 /etc/nsswitch.conf 파일을 사용하도록 시스템을 재부팅해야 합니다. 시스템 재부팅이 불가능한 경우 시스템을 Active Directory( System Security Services Daemon ) 또는 winbind 에 조인하는 서비스를 다시 시작합니다.
파일 도메인이 활성화된 경우 SSSD에서 로컬 사용자에 대해 잘못된 LDAP 그룹 멤버십을 반환합니다.
SSSD(System Security Services Daemon)에서 로컬 파일 및 sssd.conf 파일의 [domain/LDAP] 섹션에 있는 ldap_rfc2307_fallback_to_local_users 속성에서 사용자를 제공하는 경우 파일 프로바이더에는 다른 도메인의 그룹 멤버십이 포함되지 않습니다. 그 결과 로컬 사용자가 LDAP 그룹의 멤버인 경우 id local_user 명령은 사용자의 LDAP 그룹 멤버십을 반환하지 않습니다. 이 문제를 해결하려면 암시적 파일 도메인을 추가하여 비활성화하십시오.
enable_files_domain=False
/etc/ 섹션에 추가합니다.
sssd/sssd.conf 파일의 [sssd ]
그 결과 id local_user 는 로컬 사용자에 대해 올바른 LDAP 그룹 멤버십을 반환합니다.
SSSD가 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않음
지정된 인증서가 여러 인증서 일치 규칙과 동일한 우선 순위의 규칙과 일치하면 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 이 문제를 해결하려면 LDAP 필터가 | (또는) 운영자와 연결된 개별 규칙의 필터로 구성된 단일 인증서 일치 규칙을 사용합니다. 인증서 일치 규칙의 예는 sss-certamp(5) 도움말 페이지를 참조하십시오.
(BZ#1447945)
여러 도메인을 정의할 때 auto_private_group = hybrid로 프라이빗 그룹을 만들 수 없습니다.
여러 도메인이 정의되어 있고 첫 번째 도메인이 아닌 다른 도메인에서 하이브리드 옵션을 사용하는 경우 auto_private_group = 하이브리드 옵션을 사용하여 프라이빗 그룹을 만들 수 없습니다. 암시적 파일 도메인이 sssd.conf 파일의 AD 또는 LDAP 도메인과 함께 정의되어 있고 MPG_HYBRID 로 표시되지 않는 경우 SSSD는 uid=gid를 가진 사용자의 개인 그룹을 생성하지 못하고 이 gid가 있는 그룹이 AD 또는 LDAP에 존재하지 않습니다.
sssd_nss 응답자는 첫 번째 도메인에서만 auto_private_groups 옵션 값을 확인합니다. 결과적으로 RHEL 8의 기본 설정이 포함된 여러 도메인이 구성된 설정에서는 auto_private_group 옵션이 적용되지 않습니다.
이 문제를 해결하려면 sssd. conf 의 sssd 섹션에 enable_files_domain = false 를 설정합니다. 결과적으로 enable_files_domain 옵션이 false로 설정된 경우 sssd는 활성 도메인 목록을 시작할 때 id_provider=files 가 있는 도메인을 추가하지 않으므로 이 버그가 발생하지 않습니다.
(BZ#1754871)
python-ply 는 FIPS와 호환되지 않습니다
python-ply 패키지의 ✓CC 모듈은 MD5 해싱 알고리즘을 사용하여 CC 서명의 지문을 생성합니다. 그러나 FIPS 모드에서는 비보안 컨텍스트에서만 허용되는 MD5 사용을 차단합니다. 결과적으로 python-ply는 FIPS와 호환되지 않습니다. FIPS 모드의 시스템에서 ply.yacc.yacc() 에 대한 모든 호출이 실패하고 오류 메시지가 표시됩니다.
UnboundLocalError: local variable 'sig' referenced before assignment
이 문제는 python-pycparser 및 python-cffi 의 일부 사용 사례에 영향을 미칩니다. 이 문제를 해결하려면 /usr/lib/python3.6/site-packages/ply/yacc.py 파일의 2966행을 수정하고 sig = md5()를 로 바꿉니다. 결과적으로 FIPS 모드에서 sig = md5 (usedforsecurity=False)python-ply 를 사용할 수 있습니다.
freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.
터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.
문제를 해결하려면 249자 이하의 암호를 선택하십시오.
모든 KRA 멤버가 숨겨진 복제본인 경우 KRA 설치에 실패합니다.
첫 번째 KRA 인스턴스가 숨겨진 복제본에 설치된 경우 ipa-kra-install 유틸리티는 KRA(키 복구 기관)가 이미 있는 클러스터에서 실패합니다. 결과적으로 클러스터에 KRA 인스턴스를 추가할 수 없습니다.
이 문제를 해결하려면 새 KRA 인스턴스를 추가하기 전에 KRA 역할이 있는 숨겨진 복제본을 숨기지 않습니다. ipa-kra-install 이 성공적으로 완료되면 다시 숨길 수 있습니다.
검색 필터에서 이러한 속성을 사용하는 경우 Directory Server에서 스키마에서 누락된 속성에 대해 경고합니다.
nsslapd-verify-filter-schema 매개변수를 warn-invalid 로 설정하면 Directory Server에서 스키마에 정의되지 않은 속성으로 검색 작업을 처리하고 경고를 기록합니다. 이 설정을 사용하면 속성이 스키마에 정의되어 있는지 여부에 관계없이 Directory Server에서 요청된 속성을 검색 결과에 반환합니다.
향후 Directory Server 버전에서는 더 엄격한 검사를 강제 적용하도록 nsslapd-verify-filter-schema 의 기본 설정을 변경합니다. 새 기본값은 스키마에서 누락된 속성에 대해 경고하며 요청을 거부하거나 부분적인 결과만 반환합니다.
ipa-healthcheck-0.4 이전 버전의 ipa-healthcheck가 사용되지 않음
Healthcheck 툴이 ipa- healthcheck 및 의 두 개의 하위 패키지로 나뉩니다. 그러나 ipa-healthcheck- coreipa-healthcheck-core 하위 패키지만 사용되지 않는 이전 버전의 ipa-healthcheck 로 올바르게 설정됩니다. 결과적으로 Healthcheck 를 업데이트하면 ipa-healthcheck-core 만 설치되고 업데이트 후에도 ipa-healthcheck 명령이 작동하지 않습니다.
이 문제를 해결하려면 yum install .
ipa-healthcheck-0.4 를 사용하여 수동으로 ipa-healthcheck-0.4 하위 패키지를 설치하십시오