Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 54 章 认证和互操作性
sudo 在执行组查找时意外拒绝访问
此问题会在满足所有这些条件的系统中发生:
- 在
sudoers规则中通过多个名称服务切换(NSS)源(如文件或ss)源配置组名称。 - NSS 优先级设置为本地组定义。当
/etc/nsswitch.conf文件包含以下行时,这是如此:
sudoers: files sss
- 名为
match_group_by_gid的sudoDefaults 选项设为true。这是 选项的默认值。
由于 NSS 源优先级,当
sudo 实用程序尝试查找指定组的 GID 时,sudo 会收到只描述本地组定义的结果。因此,如果用户是远程组的成员,但不是本地组,sudoers 规则不匹配,而 sudo 拒绝访问。
要临时解决这个问题,请选择以下之一:
- 为
sudoers明确禁用match_group_by_gidDefaults。打开/etc/sudoers文件,并添加以下行:
Defaults !match_group_by_gid
- 配置 NSS 以对文件
的NSS 源进行优先排序。打开/etc/nsswitch.conf文件,并确保它在文件前面列出 ss:
sudoers: sss files
这可确保
sudo 允许访问属于该资源组的用户。(BZ#1293306)
KCM 凭证缓存不适用于单个凭证缓存中的大量凭证
如果凭证缓存包含太多凭证,则 Kerberos 操作(如
klist )会失败,因为用于在 sssd-kcm 组件和 sssd-secrets 组件间传输数据的硬编码限制失败。
要临时解决这个问题,请在
/etc/sssd/sssd.conf 文件的 [kcm] 部分添加 ccache_storage = memory 选项。这会指示 kcm 响应器仅存储凭证缓存,而不是持久保存。请注意,如果您执行此操作,则重新启动系统或 sssd-kcm 会清除凭证缓存。(BZ#1448094)
sssd-secrets 组件在加载时崩溃
当
sssd-secrets 组件收到多个请求时,这种情况会触发导致 sssd-secrets 意外终止的 Network Security Services(NSS)库中的一个错误。但是,systemd 服务会为下一个请求重启 sssd-secrets,这意味着拒绝服务只是临时的。(BZ#1460689)
SSSD 无法正确处理具有相同优先级的多个证书匹配规则
如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与
| (或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。(BZ#1447945)
SSSD 只能查找 ID 覆盖中的唯一证书
当多个 ID 覆盖包含同一证书时,系统安全服务守护进程(SSSD)将无法解析与证书匹配的用户的查询。尝试查找这些用户不会返回任何用户。请注意,通过使用用户名或 UID 查找用户可以正常工作。(BZ#1446101)
ipa-advise 命令不完全配置智能卡验证
ipa-advise config-server-for-smart-card-auth 和 ipa-advise config-client-for-smart-card-auth 命令不会完全为智能卡验证配置身份管理(IdM)服务器和客户端。因此,在运行 ipa-advise 命令生成的脚本后,智能卡验证会失败。要临时解决这个问题,请参阅 Linux 域身份、身份验证和策略指南中的独立用例的手动步骤 :https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html (BZ#1455946)
libwbclient 库无法连接到在 Red Hat Enterprise Linux 7.4 中托管的 Samba 共享。
Samba 和系统安全服务守护进程(SSSD)Winbind 插件实现间的接口已更改。但是,SSSD 中缺少这个更改。因此,使用 SSSD
libwbclient 库的系统而不是 Winbind 守护进程无法访问在 Red Hat Enterprise Linux 7.4 上运行的 Samba 提供的共享。没有可用的临时解决方案,红帽建议在不运行 Winbind 守护进程的情况下使用 libwbclient 库来升级到 Red Hat Enterprise 7.4。(BZ#1462769)
证书系统ub系统遇到与 TLS_ECDHE_RSA_* 密码以及某些 HSMs 的通信问题
当启用了
TLS_ECDHE_RSA_* 密码时,子系统会遇到通信问题。此问题在以下情况下发生:
- 安装 CA 且安装了第二个子系统后,并尝试将 CA 作为安全域联系,从而防止安装成功。
- 在 CA 上执行证书注册时,当需要归档时,CA 会出现与 KRA 相同的通信问题。只有在为安装临时禁用禁用密码时,才能发生这种情况。
要临时解决这个问题,请尽可能保持
TLS_ECDHE_RSA_* 密码关闭。请注意,当 Perfect Forward Secrecy 使用 TLS_ECDHE_RSA_* 密码提供了提高安全性,但每个 SSL 会话需要花费较长时间才能建立。另外,默认的 TLS_RSA_* 密码适用于证书系统操作。(BZ#1256901)