5.7.10. Identity Management

更改 /etc/nsswitch.conf 需要手动重启系统

/etc/nsswitch.conf 文件的任何更改(例如运行 authselect select profile_id 命令)都需要重启系统,以便所有相关进程使用更新版本的 /etc/nsswitch.conf 文件。如果无法重新启动系统,请重新启动将您的系统加入 Active Directory 的服务,即 系统安全服务后台程序 (SSSD)或 winbind

(BZ#1657295)

启用 文件 域时,SSSD 为本地用户返回不正确的 LDAP 组成员资格

如果系统安全服务守护进程(SSSD)从本地文件和 ldap_rfc2307_fallback_to_local_users 属性的 sssd.conf 文件的 [domain/LDAP] 部分为用户提供服务,则文件提供程序不包含来自其他域的组成员资格。因此,如果本地用户是 LDAP 组的成员,id local_user 命令不会返回用户的 LDAP 组成员资格。要临时解决这个问题,请通过添加 来禁用隐式 文件

enable_files_domain=False

/etc/ sssd/sssd.conf 文件中的 [sssd ] 部分:

因此,id local_user 会为本地用户返回正确的 LDAP 组成员资格。

(BZ#1652562)

SSSD 无法正确处理具有相同优先级的多个证书匹配规则

如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与 | (或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。

(BZ#1447945)

当定义了多个域时,无法使用 auto_private_group = 混合创建专用组

如果定义了多个域,并且第一个域以外的任何域使用混合选项,则专用组无法通过选项 auto_private_group = 混合创建。如果隐式文件域与 sssd.conf 文件中的 AD 或 LDAP 域一起定义,且未标记为 MPG_HYBRID,那么 SSSD 无法为具有 uid=gid 且具有此 gid 的组在 AD 或 LDAP 中创建私有组。

sssd_nss 响应程序仅检查第一个域中 auto_private_groups 选项的值。因此,在配置多个域的设置中,在 RHEL 8 中包括默认设置的设置中,选项 auto_private_group 无效。

要临时解决这个问题,请在 sssd .conf 的 sssd 部分中设置 enable_files_domain = false。因此,如果 enable_files_domain 选项被设置为 false,则 sssd 不会在活跃域列表的开头添加 id_provider=files 的域,因此不会出现这个程序错误。

(BZ#1754871)

python-ply 不兼容 FIPS

python-ply 软件包的 YACC 模块使用 MD5 哈希算法来生成 YACC 签名的指纹。但是,FIPS 模式会阻止使用 MD5,只有非安全上下文中才允许这样做。因此,python-ply 不兼容 FIPS。在 FIPS 模式中的系统中,对 ply.yacc.yacc() 的所有调用都会失败,并显示错误消息: 

UnboundLocalError: local variable 'sig' referenced before assignment

问题会影响 python-pycparserpython-cffi 的一些用例。要临时解决这个问题,修改 /usr/lib/python3.6/site-packages/ply/yacc.py 文件的第 2966 行,将 sig = md5() 替换为 sig = md5(usedforsecurity=False)。因此,python -ply 可以在 FIPS 模式中使用。

(BZ#1747490)

FreeRADIUS 会默默地截断大于 249 个字符的 Tunnel-Password

如果 Tunnel-Password 大于 249 个字符,则 FreeRADIUS 服务会默默地截断它。这可能导致无法预期的,与其它系统不兼容的密码。

要临时解决这个问题,请选择 249 个字符或更少的密码。

(BZ#1723362)

如果所有 KRA 成员都是隐藏的副本,则安装 KRA 会失败

如果在隐藏的副本中安装第一个 KRA 实例,ip a-kra-install 工具程序会在已存在密钥恢复授权(KRA)的集群中失败。因此,您无法向集群添加更多 KRA 实例。

要临时解决这个问题,请在添加新的 KRA 实例前,清除具有 KRA 角色的隐藏副本。ipa-kra-install 成功完成后您可以再次隐藏它。

(BZ#1816784)

如果在搜索过滤器中使用了这些属性,目录服务器会警告 schema 中缺少的属性

如果您将 then sslapd-verify-filter-schema 参数设置为 warn-invalid,Directory Server 将处理搜索操作(带有架构中未定义的属性),并记录警告。使用这个设置时,Directory 服务器会在搜索结果中返回请求的属性,无论这些属性是否在架构中定义。

目录服务器的未来版本将更改默认设置 nsslapd-verify-filter-schema 来强制进行更严格的检查。新默认值将针对架构中缺少的属性发出警告,并且拒绝请求或仅返回部分结果。

(BZ#1790259)

ipa-healthcheck-0.4 没有过时的 ipa-healthcheck的旧版本

Healthcheck 工具已分成两个子软件包:ipa -healthcheckipa-healthcheck-core。但是,只有 ipa-healthcheck-core 子软件包被正确设置为过时的 ipa-healthcheck 版本。因此,更新 Healthcheck 只会安装 ipa-healthcheck-coreipa-healthcheck 命令在更新后无法正常工作。

要临时解决这个问题,使用 yum install ipa-healthcheck-0.4 手动安装 ipa-healthcheck-0.4 子软件包

(BZ#1852244)