Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 28. Atualização de um cliente IdM de RHEL 7 para RHEL 8

Ao contrário dos servidores IdM, a realização de uma atualização no local de um cliente IdM de RHEL 7 para RHEL 8 é suportada.

No RHEL 8, algumas opções incomuns e funcionalidades não utilizadas foram removidas do System Security Services Daemon (SSSD), o serviço responsável pela autenticação em um ambiente IdM. Veja nas seções seguintes as etapas para remover essas opções.

28.1. Atualização da configuração do SSSD após a atualização para o RHEL 8

Após atualizar um cliente de Gerenciamento de Identidade (IdM) do Red Hat Enterprise Linux (RHEL) 7 para o RHEL 8, o aplicativo de atualização leapp pode exibir um aviso de que algumas opções de configuração SSSD não são mais suportadas.

Os procedimentos a seguir descrevem como atualizar sua configuração de SSSD para resolver estes problemas.

Pré-requisitos

  • Você atualizou um cliente da IdM de RHEL 7 para RHEL 8.
  • Você tem root permissões para editar /etc/sssd/sssd.conf.

28.1.1. Mudando do provedor de ID local para o provedor de ID files

Se você vir o seguinte erro, substitua o provedor de ID local pelo provedor de ID files:

SSSD Domain "example.com": local provider is no longer supported and the domain will be ignored.
Local provider is no longer supported.

Procedimento

  1. Certifique-se de que todos os usuários e grupos que você recuperou com o provedor de ID local também estão nos arquivos /etc/passwd e /etc/group. Isto assegura que o provedor files possa acessar esses usuários e grupos.

    1. Se você precisar criar usuários, use o comando useradd. Se você precisar especificar a UID, adicione a opção -u:

      [root@client ~]# useradd -u 3001 username
    2. Se você precisar criar grupos, use o comando groupadd. Se você precisar especificar o GID, adicione a opção -g:

      [root@client ~]# groupadd -g 5001 groupname
  2. Abra o arquivo de configuração /etc/sssd/sssd.conf em um editor de texto.
  3. Substituir id_provider=local por id_provider=files.

    [domain/example.com]
    id_provider = files
    ...
  4. Salve o arquivo de configuração /etc/sssd/sssd.conf.
  5. Reinicie o SSSD para carregar as mudanças de configuração.

    [root@client ~]# systemctl restart sssd

28.1.2. Remoção das opções depreciadas

Se você vir algum dos seguintes erros em relação às opções depreciadas, a Red Hat recomenda a remoção dessas opções do arquivo de configuração /etc/sssd/sssd.conf:

SSSD Domain "example.com": option ldap_groups_use_matching_rule_in_chain has no longer any effect
Option ldap_groups_use_matching_rule_in_chain was removed and it will be ignored.
SSSD Domain "example.com": option ldap_initgroups_use_matching_rule_in_chain has no longer any effect
Option ldap_initgroups_use_matching_rule_in_chain was removed and it will be ignored.

Procedimento

  1. Abra o arquivo de configuração /etc/sssd/sssd.conf em um editor de texto.
  2. Remover quaisquer ocorrências das opções ldap_groups_use_matching_rule_in_chain ou ldap_initgroups_use_matching_rule_in_chain.
  3. Salve o arquivo de configuração /etc/sssd/sssd.conf.
  4. Reinicie o SSSD para carregar as mudanças de configuração.

    [root@client ~]# systemctl restart sssd

28.1.3. Permitindo a correspondência de wildcard para as regras do sudo

O seguinte aviso indica que as regras sudo com wildcards não funcionarão por padrão no RHEL 8, pois a opção ldap_sudo_include_regexp está agora definida por padrão para false.

SSSD Domain "example.com": sudo rules containing wildcards will stop working.
Default value of ldap_sudo_include_regexp changed from true to false for performance reason.

Se você utiliza as regras sudo com curingas e deseja habilitar a correspondência de curingas, defina manualmente a opção ldap_sudo_include_regexp para true.

Nota

A Red Hat recomenda contra o uso de wildcards para corresponder às regras do sudo

Se a opção ldap_sudo_include_regexp estiver definida para true, o SSSD baixa cada regra sudo que contém um wildcard no atributo sudoHost, o que impacta negativamente o desempenho da busca LDAP.

Procedimento

  1. Abra o arquivo de configuração /etc/sssd/sssd.conf em um editor de texto.
  2. No domínio example.com, definir ldap_sudo_include_regexp=true.

    [domain/example.com]
    ...
    ldap_sudo_include_regexp = true
    ...
  3. Salve o arquivo de configuração /etc/sssd/sssd.conf.
  4. Reinicie o SSSD para carregar as mudanças de configuração.

    [root@client ~]# systemctl restart sssd