7.7. Управление идентификацией (машинный перевод)

Кэш учетных данных KCM не подходит для большого количества учетных данных в одном кэше учетных данных.

Если кэш учетных данных содержит слишком много учетных данных, выполняются операции Kerberos, такие как Kinit, сбой из-за жесткого ограничения на буфер, используемый для передачи данных между SSSD-KCM компонент и базовая база данных.

Чтобы обойти эту проблему, добавьте ccache_storage = memory вариант в KCM раздел /etc/sssd/sssd.conf файл. Это инструктирует KCM респондент хранит только кэши учетных данных в памяти, а не постоянно. Если вы сделаете это, перезапустите систему или SSSD-KCM очищает кэши учетных данных. Обратите внимание, что KCM может обрабатывать кэши размером до 64 кБ.

(BZ#1448094)

Конфликтующие значения тайм-аута не позволяют SSSD подключаться к серверам

Некоторые значения времени ожидания по умолчанию, относящиеся к операциям аварийного переключения, используемым демоном System Security Services (SSSD), конфликтуют. Следовательно, значение тайм-аута, зарезервированное для SSSD для связи с одним сервером, не позволяет SSSD пытаться использовать другие серверы до истечения времени ожидания операции соединения. Чтобы обойти проблему, установите значение ldap_opt_timeout параметр тайм-аута выше, чем значение dns_resolver_timeout параметр и установите значение dns_resolver_timeout параметр выше, чем значение dns_resolver_op_timeout параметр.

(BZ#1382750)

Использование смарт-карты для входа в веб-интерфейс IdM не работает

Когда пользователь пытается войти в веб-интерфейс Identity Management (IdM) с использованием сертификата, хранящегося на его смарт-карте, код интерфейса D-Bus для System Security Services Daemon использует некорректный обратный вызов для поиска пользователя. Следовательно, поиск вылетает. Чтобы обойти проблему, используйте другие методы аутентификации.

(BZ#1642508)

IdM сервер не работает в FIPS

Из-за неполной реализации коннектора SSL для Tomcat сервер IdM с установленным сервером сертификатов не работает на машинах с включенным режимом FIPS.

(BZ#1673296)

nuxwdog Сбой службы в средах HSM и требует установки keyutils пакет в среде без HSM

nuxwdog сторожевой сервис был интегрирован в систему сертификатов. Как следствие, nuxwdog больше не предоставляется как отдельный пакет. Чтобы использовать службу сторожевого таймера, установите pki-server пакет.

Обратите внимание, что nuxwdog сервис имеет следующие известные проблемы:

  • nuxwdog служба не работает, если вы используете аппаратный модуль хранения (HSM). Для этой проблемы нет обходного пути.
  • В среде без HSM Red Hat Enterprise Linux 8.0 не устанавливает автоматически keyutils Пакет как зависимость. Чтобы установить пакет вручную, используйте dnf install keyutils команда.

(BZ#1652269)