Red Hat Training

A Red Hat training course is available for RHEL 8

5.5.11. Identity Management

KCM 凭证缓存不适用于单个凭证缓存中的大量凭证

Kerberos 凭据管理器(KCM)可以处理最多 64 kB 的 ccache 大小。如果它包含太多凭证,Kerberos 操作(如 kinit )会失败,因为用于在 sssd-kcm 组件和底层数据库间传输数据的缓冲区存在硬编码限制。

要临时解决这个问题,请在 /etc/sssd/sssd.conf 文件的 kcm 部分添加 ccache_storage = memory 选项。这指示 kcm 响应器仅将凭证缓存存储在内存中,而不是永久存储。如果您这样做,重启系统或 sssd-kcm 会清除凭证缓存。

(BZ#1448094)

更改 /etc/nsswitch.conf 需要手动重启系统

/etc/nsswitch.conf 文件的任何更改(例如运行 authselect select profile_id 命令)都需要重启系统,以便所有相关进程使用更新版本的 /etc/nsswitch.conf 文件。如果无法重新启动系统,请重新启动将您的系统加入 Active Directory 的服务,即 系统安全服务后台程序 (SSSD)或 winbind

(BZ#1657295)

冲突的超时值阻止 SSSD 连接到服务器

与 System Security Services Daemon(SSSD)使用的故障转移操作相关的一些默认超时值相互冲突。因此,为 SSSD 与单个服务器进行通信的超时值会阻止 SSSD 在连接操作超时前尝试其他服务器。要临时解决这个问题,请设置 ldap_opt_timeout 超时参数的值,高于 dns_resolver_timeout 参数的值,并设置 dns_resolver_timeout 参数的值高于 dns_resolver_op_timeout 参数的值。

(BZ#1382750)

SSSD 只能查找 ID 覆盖中的唯一证书

当多个 ID 覆盖包含同一证书时,系统安全服务守护进程(SSSD)将无法解析与证书匹配的用户的查询。尝试查找这些用户不会返回任何用户。请注意,通过使用用户名或 UID 查找用户可以正常工作。

(BZ#1446101)

SSSD 无法正确处理具有相同优先级的多个证书匹配规则

如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与 | (或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。

(BZ#1447945)

SSSD 为本地用户返回不正确的 LDAP 组成员资格

如果系统安全服务守护进程(SSSD)从本地文件为用户提供服务,则文件提供商不包含来自其他域的组成员资格。因此,如果本地用户是 LDAP 组的成员,id local_user 命令不会返回用户的 LDAP 组成员资格。要临时解决这个问题,请恢复系统在 /etc/nsswitch.conf 文件中查找用户组成员资格的数据库顺序,使用 文件替换 sss 文件, 或通过添加 来禁用隐式 文件

enable_files_domain=False

/etc/ sssd/sssd.conf 文件中的 [sssd ] 部分:

因此,id local_user 会为本地用户返回正确的 LDAP 组成员资格。

(BZ#1652562)

如果 sudo 规则引用组名称,则 sudo 规则可能无法用于 id_provider=ad

initgroups 操作过程中,系统安全服务守护进程(SSSD)不会解析 Active Directory 组名称,因为使用缓存优化了 AD 和 SSSD 之间的通信。缓存条目仅包含安全标识符(SID),在按名称或 ID 请求组之前,不包含组名称。因此,sudo 规则与 AD 组不匹配,除非在运行 sudo 之前完全解析了这些组。

要临时解决这个问题,您需要禁用优化:打开 /etc/sssd/sssd.conf 文件,并在 [domain/example.com] 部分中添加 ldap_use_tokengroups = false 参数。

(BZ#1659457)

RHEL 8 中已更改了 systemd-user 的默认 PAM 设置,这可能会影响 SSSD 行为

Red Hat Enterprise Linux 8 中更改了可插拔验证模块(PAM)堆栈。例如,systemd 用户会话现在使用 systemd -user PAM 服务启动 PAM 对话。此服务现在递归包含 system-auth PAM 服务,其中可能包括 pam_sss.so 接口。这意味着始终调用 SSSD 访问控制。

请注意为 RHEL 8 系统设计访问控制规则时的更改。例如,您可以将 systemd-user 服务添加到允许的服务列表中。

请注意,对于某些访问控制机制,如 IPA HBAC 或 AD GPOs,默认情况下 systemd-user 服务已添加到允许的服务列表中,您不需要进行任何操作。

(BZ#1669407)

IdM 服务器在 FIPS 中无法工作

由于 Tomcat 的 SSL 连接器实现不完整,装有证书服务器的身份管理(IdM)服务器在启用了 FIPS 模式的机器上无法正常工作。

(BZ#1673296)

使用 sss ID 映射插件时,Samba 拒绝访问

要将 Samba 用作加入 Active Directory(AD)域的 RHEL 主机上的文件服务器,必须运行 Samba Winbind 服务,即使 SSSD 用于管理 AD 中的用户和组。如果您使用 realm join --client-software=sssd 命令加入域,或者在此命令中未指定 --client-software 参数,则 realm 仅创建 /etc/sssd/sssd.conf 文件。当您使用此配置在域成员上运行 Samba 并添加使用 sss ID 映射后端到 /etc/samba/smb.conf 文件以共享目录的配置时,ID 映射后端的更改可能会导致错误。因此,Samba 在某些情况下拒绝访问文件,即使存在用户或组且 SSSD 已知的。

如果您计划从以前的 RHEL 版本和 /etc/sssd/sssd.conf 文件中的 ldap_id_mapping 参数升级 则没有可用的临时解决方案。在这种情况下,不要将主机升级到 RHEL 8,直到问题解决为止。

在其他情况下可能解决这一问题:

  • 对于新安装,请使用 realm join --client-software=winbind 命令加入域。这会将系统配置为在所有用户和组查找中使用 Winbind 而不是 SSSD。在本例中,Samba 在 /etc/samba/smb.conf 中使用丢弃 ad ID 映射插件,具体取决于您将 --automatic-id-mapping 选项设置为 yes (默认)还是 no。如果您计划在将来或其他系统中使用 SSSD,使用 --automatic-id-mapping=no 允许更轻松地迁移,但要求您在 AD 中为所有用户和组存储 POSIX UID 和 GID。
  • 当从以前的 RHEL 版本升级时,如果 /etc/sssd/sssd.conf 文件中的 ldap_id_mapping 参数被设置为 False,系统使用 AD 中的 uidNumber and gidNumber 属性进行 ID 映射:

    1. /etc/samba/smb.conf 文件中的 idmap config <domain> : backend = sss 条目改为 idmap config <domain> : backend = ad
    2. 使用 systemctl status winbind 命令重新启动 Winbind。

(BZ#1657665)

nuxwdog 服务在 HSM 环境中失败,且需要在非 HSM 环境中安装 keyutils 软件包

nuxwdog watchdog 服务已集成到证书系统中。因此,nuxwdog 不再作为单独的软件包提供。要使用 watchdog 服务,请安装 pki-server 软件包。

请注意,nuxwdog 服务有以下已知问题:

  • 如果您使用硬件存储模块(HSM),nuxwdog 服务将无法工作。对于这个问题,没有可用的临时解决方案。
  • 在非 HSM 环境中,Red Hat Enterprise Linux 8.0 不自动安装 keyutils 软件包作为依赖项。要手动安装 软件包,请使用 dnf install keyutils 命令。

(BZ#1652269)

仅可在 IdM CLI 中添加 AD 用户的 ID 覆盖

目前,将 Active Directory(AD)用户的 ID 覆盖添加到 Identity Management(IdM)组中,以便在 IdM Web UI 中授予对管理角色的访问权限。要临时解决这个问题,请使用 IdM 命令行界面(CLI)。

请注意,在使用 ipa 实用程序执行某些操作后,如果在 IdM 服务器上安装了 ipa -idoverride-memberof-plugin 软件包,红帽建议清理 ipa 实用程序的缓存,强制它刷新其有关 IdM 服务器元数据的视图。

为此,请删除在其下执行 ipa 实用程序的用户 ~/.cache/ipa 目录的内容。例如,对于 root:

# rm -r /root/.cache/ipa

(BZ#1651577)

在 IdM 中启用 AD 信任时,没有显示有关所需 DNS 记录的信息

当通过外部 DNS 管理启用对 Red Hat Enterprise Linux Identity Management(IdM)安装中的 Active Directory(AD)信任时,不会显示有关所需 DNS 记录的信息。只有添加所需的 DNS 记录后,林信任才会成功。要临时解决这个问题,请运行 'ipa dns-update-system-records --dry-run' 命令,以获取 IdM 所需的所有 DNS 记录列表。当 IdM 域的外部 DNS 定义所需的 DNS 记录时,有可能建立对 AD 的林信任。

(BZ#1665051)