Show Table of Contents
第 32 章 身份验证和互操作性
拒绝为短生命周期发出 Kerberos ticket 请求
由于 Active Directory 中的程序错误,为短生命周期(一般少于三分钟)请求 kerberos ticket 会被拒绝。要临时解决这个问题,请申请一个较长生命(五分钟以上)的 ticket。
使用 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器会失败
目前,Camellia Kerberos 加密类型(enctypes)是 krb5、krb5-libs、krb5-server 软件包的默认加密类型。结果是在使用 Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器时会失败,并显示出错信息。要临时解决这个问题,请使用默认加密类型控制,或者告诉 kadmin 或 ipa-getkeytab 要使用哪种加密类型。
在启动 SSSD 时会记录一条无害出错信息
如果 SSSD 连接到没有与 AD 服务器建立可信关系的 IdM 服务器,则会在 SSSD 域启动时会输出以下无害出错信息:
Internal Error (Memory buffer error)
要防止出现这个无害出错信息,如果该环境不会设定任意可信域,则请将 sssd.conf 文件的
subdomains_provider 设定为 none。
无法使用最新生成的 DNSSEC 密钥签署 DNS 区
IdM 无法使用最新生成的 DNS 安全扩展(NDSSEC)密钥正确签署 DNS 区。在这种情况下,named-pkcs11 服务会记录以下出错信息:
The attribute does not exist: 0x00000002
这个程序错误是由生成 DNSSEC 密钥和发布进程之间的竞争条件错误造成。该竞争条件会防止 named-pkcs11 访问新的 DNSSEC 密钥。
要临时解决这个问题,请在受影响的服务器中重启 named-pkcs11。重启后,则会正确签署该 DNS 区。
如果在运行 realmd 时进行更新则会启动旧的 realmd 版本
只有在请求时会启动
realmd 守护进程,然后执行给出的操作,稍后会超时。如果更新 realmd 时该程序仍在运行,则会在下次要求时启动旧版本的 realmd,因为不会再更新后重启 realmd。要临时解决这个问题,请在更新前确定没有运行 reamld。
ipa-server-install 和 ipa-replica-install 没有验证其选项
目前,
ipa-server-install 和 ipa-replica-install 程序不会验证为其提供的选项。如果用户在这些程序中使用不正确的值,则安装会失败。要临时解决这个问题,请确定提供正确值,然后再运行这些程序。
如果没有安装所需 openssl 版本则升级 ipa 软件包会失败
用户尝试升级
ipa 软件包时,身份管理(IdM)不会自动安装 openssl 软件包的所需版本。结果是,如果用户在运行 yum update ipa* 命令前没有安装 openssl 版本 1.0.1e-42,则会在配置 DNSKeySync 服务的过程中的升级会失败。
要临时解决这个问题,请在更新
ipa 前,手动将 openssl 更新至版本 1.0.1e-42 或更新的版本。这样可以防止升级失败。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.