Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 32 章 认证和互操作性
在短生命周期内,Kerberos ticket 请求将被拒绝
由于 Active Directory 中的一个错误,则拒绝 Kerberos 票据请求(通常低于三分钟)生命周期。要临时解决这个问题,请请求较长的时间(5 分钟)票据。
从 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器失败
目前,Camellia Kerberos 加密类型(enctypes)包含在 krb5、krb5-libs、krb5-server 软件包中可能的默认 enctypes。因此,将 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器会失败,并显示错误消息。要临时解决这个问题,请使用默认的 enctype 控制,或告诉 kadmin 或 ipa-getkeytab 要使用的加密类型。
SSSD 启动时会记录一个无害的错误消息
如果 SSSD 连接到没有与 AD 服务器建立信任关系的 IdM 服务器,则启动时会将以下无害错误消息输出到 SSSD 域日志中:
内部错误(内存缓冲区错误)
要防止发生不必要的错误消息,在 sssd.conf 文件中将
subdomains_provider 设置为 none (如果环境不期望设置任何可信域)。
最近生成的 DNSSEC 密钥的 DNS 区域没有正确签名
IdM 没有使用最近生成的 DNS 安全扩展(DNSSEC)密钥正确为 DNS 区域签名。在这种情况下,named-pkcs11 服务会记录以下错误:
属性不存在: 0x00000002
错误是由 DNSSEC 密钥生成和分发过程中的竞争条件错误造成的。竞争条件可防止 named-pkcs11 访问新的 DNSSEC 密钥。
要临时解决这个问题,请在受影响的服务器上重启 named-pkcs11。重启后,DNS 区域会被正确签名。请注意,这个程序错误可能会在 DNSSEC 密钥再次更改后重新应用。
旧的 realmd 版本会在更新 realmd 运行时启动
realmd 守护进程仅在请求时启动,然后执行给定操作,并在一段时间超时后启动。当在仍然运行时更新 realmd 时,realmd 的旧版本会在下一次请求时启动,因为 realmd 在更新后不会重启。要临时解决这个问题,请确保在更新前没有运行 reamld。
ipa-server-install 和 ipa-replica-install 不验证其选项
ipa-server-install 和 ipa-replica-install 工具目前不会验证提供给它们的选项。如果用户将不正确的值传递给工具,安装会失败。要临时解决这个问题,请确保提供正确的值,然后再次运行该工具。
如果没有安装所需的 openssl 版本,升级 ipa 软件包会失败
当用户尝试升级
ipa 软件包时,身份管理(IdM)不会自动安装 openssl 软件包所需的版本。因此,如果在用户运行 yum update ipa 114 命令前没有安装 openssl 的 1.0.1e-42 版本,则升级会在 DNSKeySync 服务配置过程中失败。
要临时解决这个问题,请在更新
ipa 前手动将 openssl 更新至 1.0.1e-42 或更高版本。这可防止升级失败。
