第 39 章 认证和互操作性

bind-dyndb-ldap 组件,BZ#1139776
bind-dyndb-ldap 系统插件的最新版本与之前的版本相比有极大的改进,但目前仍有局限性。其中之一就是不支持 LDAP 重命名(MODRDN)操作。结果是无法正确使用 LDAP 中重命名的 DNS 记录。作为临时解决方案,可在每次 MODRDN 操作后重启 named 守护进程,重新同步数据。在身份管理(IdM)集群的所有 IdM 副本中重启 named 守护进程。
ipa 组件,BZ#1187524
在完全服务器恢复的过程中,即使在 tar 归档中包含 IdM 备份文件,也无法在使用备份恢复服务器时打开用来重新导入后端的 userRoot.ldifipaca.ldif 文件。结果是在全面服务器恢复中会跳过这些文件。如果使用完全服务器备份恢复,恢复的后端可接收生成备份后的更新。这是不应该的,因为所有在生成备份及执行恢复之间的的更新都会丢失。服务器成功恢复,但包含无效数据。如果恢复的服务器包含无效数据,并使用它重启该副本,可成功初始化该副本,但副本中的数据是无效的。
目前没有临时解决方案。建议不要使用从完全服务器 IdM 备份中恢复的服务器重新初始化副本,这样可确保不会在恢复结束时或重新初始化过程中出现意外更新。
注:这个已知问题只存在于完全服务器 IdM 恢复,数据 IdM 恢复没有这个问题。
ipa (slapi-nis) 组件,BZ#1157757
将架构兼容性插件配置为使用 AD 的身份管理(IdM)跨林信任,提供 Active Directory(AD)用户对旧客户端的访问。389 Directory Server 可在某些条件下,根据收到的请求解析 AD 用户的复杂组成员关系,增加 CPU 消耗。
ipa 组件,BZ#1186352
使用备份恢复身份管理(IdM),并在其他副本中重新初始化恢复的数据时,架构兼容性插件仍会保留执行恢复及重新初始化前缓存的旧数据。结果是副本可能会出现意外行为。例如:如果尝试添加最初是在执行备份后添加的用户,并在恢复和创新初始化步骤中删除该用户,则操作可能会失败,并显示出错信息,因为架构兼容性缓存中包含冲突的用户条目。作为临时解决方案,在使用主服务器重新初始化 IdM 副本后,重启 IdM 副本。这样可清除 Schema Compatibility 缓存,并确定副本行为如所述情况。
ipa 组件,BZ#1188195
升级到身份管理(IdM)Red Hat Enterprise Linux 7.1 版本后,匿名及认证的用户都会丢失 facsimiletelephonenumber 用户属性的默认权限。要手动更改新的默认设置,使该属性再次可读,请运行以下命令: 
ipa permission-mod 'System: Read User Addressbook Attributes' --includedattrs facsimiletelephonenumber
ipa 组件,BZ#1189034
如果主机 DNS 区不是完全限定域名,ipa host-del --updatedns 命令不会更新主机 DNS 记录。在 Red Hat Enterprise Linux 7.0 和 6 中可以创建未限定区。如果在未限定 DNS 区中(比如 example.test,而不是结尾包含句点的 example.test.)运行 ipa host-del --updatedns,该命令会失败,并显示内部出错信息,并删除该主机,但不会删除其 DNS 记录。作为临时解决方案,请在运行 Red Hat Enterprise Linux 7.0 或 6 的 IdM 服务器中运行 ipa host-del --updatedns 命令,在这些系统中可如预期更新主机 DNS 记录,或在 Red Hat Enterprise Linux 7.1 中运行该命令更新主机 DNS 记录。
ipa 组件,BZ#1193578
身份管理(IdM)客户端中的 Kerberos 库默认通过用户数据包协议(User Datagram Protocol,UDP)沟通。使用一次性密码(OTP)可造成额外的延迟,并超过 Kerberos 超时限制。结果是 kinit 命令及其他 Kerberos 操作可报告通讯错误,同时会锁定该用户。作为临时解决方案,请通过在 /etc/krb5.conf 文件中将 udp_preference_limit 选项设定为 0,从而使用较慢的传输控制协议(Transmission Control Protocol,TCP)。
ipa 组件,BZ#1170770
在 IdM 中注册的主机无法属于同一 DNS 域,因为该 DNS 域属于一个 AD 林。当将 Active Directory(AD)林中的 DNS 域标记为属于身份管理(IdM)域时,AD 的跨林信任就无法工作,即使信任状态报告成功也不行。作为临时解决方案,请使用与现有 AD 林不同的 DNS 域部署 IdM。
如果已知 AD 和 IdM 中使用同样的 DNS 域,首先请运行 ipa realmdomains-show 命令显示 IdM 领域列表。然后运行 ipa realmdomains-mod --del-domain=wrong.domain 命令删除该列表中属于 AD 的 DNS 域。从 IdM 中取消在 AD 林 DNS 域注册的主机,并为这些主机选择与 AD 林不冲突的 DNS 名称。最后,使用 ipa trust-add 命令重新建立该信任,刷新 AD 林的跨林信任状态。
ipa 组件,BZ#988473
为身份管理(IdM)中的 Trusted Admins 组赋予轻加权目录访问控制(LDAP)对象的访问控制。要建立该信任,IdM 管理员应属于 Trusted Admins 组所属成员的组,并为这个组分配相对标识符(RD)512。要确保此操作完成,请运行 ipa-adtrust-install 命令,然后运行 ipa group-show admins --all 命令,验证 ipantsecurityidentifier 字段中包含以 -512 字符串结尾的值。如果该字段不是以 -512 结尾,请使用 ipa group-mod admins --setattr=ipantsecurityidentifier=SID 命令,其中 SIDipa group-show admins --all 命令输出结果中的字段值,该值中以 -512 字符串替代最后的内容值 (-XXXX)。
sssd 组件,BZ#1024744
OpenLDAP 和 389 Directory Server(389 DS)服务器采用不同的方式解读宽限登录(grace login)。389 DS 将其视为剩余宽限登录数,而 OpenLDAP 将其视为已使用宽限登录数。目前,SSSD 只能处理 389 DS 语境。结果是使用 OpenLDAP 时,宽限登录密码可能警告可能不正确。
sssd 组件,BZ#1081046
SSSD 用来查看帐户是否过期的 accountExpires 属性不会默认在全局分类中复制。结果是在使用 GSSAPI 认证时,可让使用过期帐户的用户登录。作为临时解决方案,请在 sssd.conf 文件中指定 ad_enable_gc=False 禁用全局分类。使用这个设置,可在使用 GSSAPI 认证时,拒绝使用过期帐户的用户。注:在这种情况下,SSSD 分别与每个 LDAP 服务器连接,可造成连接数量增大。
sssd 组件,BZ#1103249
在某些情况下,SSSD 服务特权属性证书(PAC)响应方组件中的算法无法有效处理作为很多组成员的用户。结果是从 Windows 客户端登录至使用 Kerberos 单一登录(SSO)的 Red Hat Enterprise Linux 客户端的速度会明显缓慢。目前尚没有临时解决方案可用。
sssd 组件,BZ#1194345
SSSD 服务在进行 initgroup 查找时使用全局编录(GC),但不会默认将 POSIX 属性(比如用户主目录或 shell)复制到 GC 组中。结果是,在 SSSD 查找过程中 SSSD 请求 POSIX 属性时,SSSD 会错误地将这些属性视为要从服务器中删除的属性,因为它们没有出现在 GC 中,同时还会将其从 SSSD 缓存中删除。
作为临时解决方案,可在 sssd-ad.conf 文件中设定 ad_enable_gc=False 参数禁用 GC 支持,或者在 GC 中复制这些 POSIX 属性。禁用 GC 比较简单,但会造成该客户端无法解析跨域组成员。在 GC 中复制 POSIX 属性是更系统的解决方案,但需要更改 Active Directory(AD)架构。作为上述临时解决方案之一的结果是运行 getent passwd user 命令显示 POSIX 属性。注:即使正确设置 POSIX 属性,运行 id user 命令时可能也无法显示。
samba 组件,BZ#1186403
samba-common.x86_64samba-common.i686 软件包中的二进制文件包含同样的文件路径,但其内容不同。结果是无法一同安装这些软件包,因为 RPM 禁止此类情况。
作为临时解决方案,如果主要需要的是 samba-common.x86_64,则不要安装 samba-common.i686;就是说在 kickstart 文件或已安装的系统中都不要安装。如果需要 samba-common.i686,则请避免安装 samba-common.x86_64。结果是可以安装系统,但每次只能使用一个架构中的 samba-common 软件包。