第 32 章 身份验证和互操作性

拒绝为短生命周期发出 Kerberos ticket 请求

由于 Active Directory 中的程序错误,为短生命周期(一般少于三分钟)请求 kerberos ticket 会被拒绝。要临时解决这个问题,请申请一个较长生命(五分钟以上)的 ticket。

使用 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器会失败

目前,Camellia Kerberos 加密类型(enctypes)是 krb5、krb5-libs、krb5-server 软件包的默认加密类型。结果是在使用 Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器时会失败,并显示出错信息。要临时解决这个问题,请使用默认加密类型控制,或者告诉 kadmin 或 ipa-getkeytab 要使用哪种加密类型。

在启动 SSSD 时会记录一条无害出错信息

如果 SSSD 连接到没有与 AD 服务器建立可信关系的 IdM 服务器,则会在 SSSD 域启动时会输出以下无害出错信息:
Internal Error (Memory buffer error)
要防止出现这个无害出错信息,如果该环境不会设定任意可信域,则请将 sssd.conf 文件的 subdomains_provider 设定为 none

无法使用最新生成的 DNSSEC 密钥签署 DNS 区

IdM 无法使用最新生成的 DNS 安全扩展(NDSSEC)密钥正确签署 DNS 区。在这种情况下,named-pkcs11 服务会记录以下出错信息:
The attribute does not exist: 0x00000002
这个程序错误是由生成 DNSSEC 密钥和发布进程之间的竞争条件错误造成。该竞争条件会防止 named-pkcs11 访问新的 DNSSEC 密钥。
要临时解决这个问题,请在受影响的服务器中重启 named-pkcs11。重启后,则会正确签署该 DNS 区。

如果在运行 realmd 时进行更新则会启动旧的 realmd 版本

只有在请求时会启动 realmd 守护进程,然后执行给出的操作,稍后会超时。如果更新 realmd 时该程序仍在运行,则会在下次要求时启动旧版本的 realmd,因为不会再更新后重启 realmd。要临时解决这个问题,请在更新前确定没有运行 reamld

ipa-server-install 和 ipa-replica-install 没有验证其选项

目前,ipa-server-installipa-replica-install 程序不会验证为其提供的选项。如果用户在这些程序中使用不正确的值,则安装会失败。要临时解决这个问题,请确定提供正确值,然后再运行这些程序。

如果没有安装所需 openssl 版本则升级 ipa 软件包会失败

用户尝试升级 ipa 软件包时,身份管理(IdM)不会自动安装 openssl 软件包的所需版本。结果是,如果用户在运行 yum update ipa* 命令前没有安装 openssl 版本 1.0.1e-42,则会在配置 DNSKeySync 服务的过程中的升级会失败。
要临时解决这个问题,请在更新 ipa 前,手动将 openssl 更新至版本 1.0.1e-42 或更新的版本。这样可以防止升级失败。