Capítulo 33. Autenticação e Interoperabilidade

As solicitações do tíquete Kerberos são recusadas para tempo de vida curto

Devido a um erro no Active Directory, as solicitações do tíquete Kerberos para tempos de vida curtos (geralmente abaixo de três minutos) são recusadas. Para contornar este problema, solicite tíquetes com vidas mais longas (acima de cinco minutos).

A réplica de uma máquina Red Hat Enterprise Linux 7 em uma máquina Red Hat Enterprise Linux 6 gera falhas

Atualmente, os tipos de criptografia Kerberos Camellia (enctypes) são incluídos como possíveis enctypes padrão nos pacotes krb5, krb5-libs e krb5-server. Assim, a réplica de uma máquina Red Hat Enterprise Linux 7 em uma máquina Red Hat Enterprise Linux 6 gera falhas com uma mensagem de erro. Para contornar este problema, use os controles enctype padrão ou avise kadmin ou ipa-getkeytab quais tipos de criptografia usar.

Mensagem de erro inofensiva é registrada em log na inicialização do SSSD

Se o SSSD é conectado a um servidor IdM que não tem uma relação de confiança estabelecida com um servidor AD, a mensagem de erro inofensiva a seguir é impressa no registro de domínio na inicialização do SSSD:
Erro Interno (Erro de memória de buffer)
Para evitar que esta mensagem de erro inofensiva ocorra, defina subdomains_provider como none no arquivo sssd.conf, caso o ambiente não espere configurar nenhum domínio confiável.

As zonas DNS, com as chaves DNSSEC recentemente geradas, não estão sendo assinadas adequadamente

O IdM não assina adequadamente as zonas DNS com as chaves de Extensões de Segurança DNS (DNSSEC) geradas recentemente. O serviço named-pkcs11 registra o seguinte erro nesta situação:
O atributo não existe: 0x00000002
A falha é causada por um erro na condição de corrida no processo de distribuição e geração de chaves DNSSEC. A condição de corrida impede que named-pkcs11 acesse as novas chaves DNSSEC.
Para contornar este problema, reinicie named-pkcs11 no servidor afetado. Depois de reiniciado, a zona DNS é assinada adequadamente. Observe que, o erro pode reaparecer depois das chaves DNSSEC serem alteradas novamente.

A versão realmd antiga é iniciada durante a atualização do realmd enquanto em execução

O daemon realmd é iniciado apenas quando solicitado e, então, desempenha uma determinada ação e, após um momento, atinge tempo limite. Quando realmd é atualizado ainda em execução, a versão antiga do realmd é iniciada mediante uma próxima solicitação, pois realmd não é reiniciado após a atualização. Para contornar este problema, certifique-se de que reamld não esteja em execução antes de atualizá-lo.

As opções do ipa-server-install e ipa-replica-install são não validadas

Os utilitários ipa-server-install e ipa-replica-install não validam atualmente as opções fornecidas a eles. Caso o usuário passe os valores incorretos aos utilitários, ocorre falha na instalação. Para contornar o problema, certifique-se de fornecer os valores corretos e, então, execute os utilitários novamente.

Se a versão openssl necessária não é instalada, a atualização dos pacotes ipa gera falhas

Quando o usuário tenta realizar o upgrade dos pacotes ipa, o Gerenciamento de Identidade (IdM) não instala automaticamente a versão necessária dos pacotes ipa. Como consequência, se a versão 1.0.1e-42 do openssl não é instalada antes do usuário executar o comando yum update ipa*, o upgrade falha durante a configuração do serviço DNSKeySync.
Para contornar este problema, atualize manualmente openssl para a versão 1.0.1e-42, ou mais recente, antes de atualizar ipa. Isto impede a falha do upgrade.