10.12. Identity Management

如果所有 KRA 成员都是隐藏的副本,则安装 KRA 会失败

如果在隐藏的副本中安装第一个 KRA 实例,ipa-kra-install 程序会在有密钥恢复授权(KRA)的集群中失败。因此,您无法向集群添加更多 KRA 实例。

要临时解决这个问题,请在添加新的 KRA 实例前,清除具有 KRA 角色的隐藏副本。ipa-kra-install 成功完成后您可以再次隐藏它。

(BZ#1816784)

cert-fix 程序与 --agent-uid pkidbuser 选项一同使用会破坏证书系统

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具可破坏证书系统的 LDAP 配置。因此,,证系统可能会变得不稳定,需要手动步骤才能恢复该系统。

(BZ#1729215)

IdM 主机上的 /var/log/lastlog 稀疏文件可能会导致性能问题

在 IdM 安装过程中,从总计 10,000 个可能范围内会随机选择并分配一个 200,000 UID 范围。当您决定以后合并两个独立的 IdM 域时,以这种方法选择一个随机范围可显著降低冲突 ID 的可能性。

但是,具有高 UID 可能会造成 /var/log/lastlog 文件的问题。例如,如果 UID 为 1280000008 的用户登录到 IdM 客户端,本地 /var/log/lastlog 文件大小增加到近 400 GB。虽然实际文件是稀疏的,且没有使用所有空间,但某些应用程序默认不是为识别稀疏文件而设计的,且可能需要一个特定的选项来处理这些文件。例如,如果设置比较复杂,备份和复制应用程序无法正确处理稀疏文件,则该文件会像大小为 400 GB 一样被复制。这个行为可能会导致性能问题。

要临时解决这个问题:

  • 如果是标准软件包,请参考其文档来识别处理稀疏文件的选项。
  • 如果是自定义应用程序,请确保它能够正确管理稀疏文件,如 /var/log/lastlog

(JIRA:RHELPLAN-59111)

FreeRADIUS 会默默地截断大于 249 个字符的 Tunnel-Password

如果 Tunnel-Password 大于 249 个字符,则 FreeRADIUS 服务会默默地截断它。这可能导致无法预期的,与其它系统不兼容的密码。

要临时解决这个问题,请选择 249 个字符或更少的密码。

(BZ#1723362)

FIPS 模式不支持使用共享 secret 建立跨林信任

在 FIPS 模式中使用共享 secret 建立跨林信任会失败,因为 NTLMSSP 身份验证不兼容 FIPS。要临时解决这个问题,在启用了 FIPS 模式的 IdM 域和 AD 域间建立信任时,使用 Active Directory(AD)管理帐户进行身份验证。

BZ#1924707

在 rebase 到版本 1.2.2 后,降级authselect会破坏系统身份验证

authselect 软件包已 rebase 到最新的上游版本 1.2.2。不支持降级 authselect,这会中断所有用户的系统身份验证,包括root用户。

如果您将authselect 软件包降级到 1.2.1 或更早版本,请执行以下步骤来解决这个问题:

  1. 在 GRUB 引导屏幕中,选择带有您要引导的内核版本的 Red Hat Enterprise Linux,然后按 e 编辑该条目。
  2. 在以 linux 开头的行尾输入 single,然后按 Ctrl+x 来启动引动过程。
  3. 以单用户模式引导时,输入 root 密码。

  4. 使用以下命令恢复 authselect 配置: 

    # authselect select sssd --force

(BZ#1892761)

如果 pki-ca 软件包版本早于 10.10.5,则将 IdM 服务器从 RHEL 8.3 升级到 RHEL 8.4 会失败

如果 pki-ca软件包版本早于 10.10.5,IdM 服务器升级程序ipa-server-upgrade会失败。由于这些版本中所需的文件不存在,因此在包安装以及执行ipa-server-upgradeipactl时,IdM 服务器升级无法成功完成。

要解决这个问题,将 pki-* 软件包升级到 10.10.5 或更高版本,然后再次运行 ipa-server-upgrade 命令。

(BZ#1957768)

将对 ldap_id_use_start_tls 选项使用默认值时有潜在的风险

当使用没有 TLS 的 ldap:// 进行身份查找时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,其允许攻击者通过更改例如 LDAP 搜索中返回的对象的 UID 或 GID,来冒充用户。

目前,用于强制 TLS ldap_id_use_start_tls 的 SSSD 配置选项默认为 false。确保您的设置在可信环境中操作,并决定对 id_provider = ldap 使用未加密的通信是否安全。注意 id_provider = adid_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。

如果使用未加密的通信不安全,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。

(JIRA:RHELPLAN-155168)