Menu Close

10.13. Identity Management

Windows Server 2008 R2 及更早版本不再被支持

在 RHEL 8.4 及更高版本中,身份管理(IdM)不支持使用运行 Windows Server 2008 R2 或更早版本的 Active Directory 域控制器建立对 Active Directory 的信任。RHEL IdM 现在需要在建立信任关系时进行 SMB 加密,这只适用于 Windows Server 2012 或更高版本。

(BZ#1971061)

cert-fix 程序与 --agent-uid pkidbuser 选项一同使用会破坏证书系统

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具可破坏证书系统的 LDAP 配置。因此,,证系统可能会变得不稳定,需要手动步骤才能恢复该系统。

(BZ#1729215)

FreeRADIUS 会默默地截断大于 249 个字符的 Tunnel-Password

如果 Tunnel-Password 大于 249 个字符,则 FreeRADIUS 服务会默默地截断它。这可能导致无法预期的,与其它系统不兼容的密码。

要临时解决这个问题,请选择 249 个字符或更少的密码。

(BZ#1723362)

IdM 主机上的 /var/log/lastlog 稀疏文件可能会导致性能问题

在 IdM 安装过程中,从总计 10,000 个可能范围内会随机选择并分配一个 200,000 UID 范围。当您决定以后合并两个独立的 IdM 域时,以这种方法选择一个随机范围可显著降低冲突 ID 的可能性。

但是,具有高 UID 可能会造成 /var/log/lastlog 文件的问题。例如,如果 UID 为 1280000008 的用户登录到 IdM 客户端,本地 /var/log/lastlog 文件大小增加到近 400 GB。虽然实际文件是稀疏的,且没有使用所有空间,但某些应用程序默认不是为识别稀疏文件而设计的,且可能需要一个特定的选项来处理这些文件。例如,如果设置比较复杂,备份和复制应用程序无法正确处理稀疏文件,则该文件会像大小为 400 GB 一样被复制。这个行为可能会导致性能问题。

要临时解决这个问题:

  • 如果是标准软件包,请参考其文档来识别处理稀疏文件的选项。
  • 如果是自定义应用程序,请确保它能够正确管理稀疏文件,如 /var/log/lastlog

(JIRA:RHELPLAN-59111)

FIPS 模式不支持使用共享 secret 建立跨林信任

在 FIPS 模式中使用共享 secret 建立跨林信任会失败,因为 NTLMSSP 身份验证不兼容 FIPS。要临时解决这个问题,在启用了 FIPS 模式的 IdM 域和 AD 域间建立信任时,使用 Active Directory(AD)管理帐户进行身份验证。

BZ#1924707

FreeRADIUS 服务器无法在 FIPS 模式下运行

默认情况下,在 FIPS 模式中,OpenSSL 禁用使用 MD5 摘要算法。由于 RADIUS 协议需要 MD5 在 RADIUS 客户端和 RADIUS 服务器之间加密,这会导致 FreeRADIUS 服务器在 FIPS 模式中失败。

要临时解决这个问题,请按照以下步骤执行:

流程

  1. 为 radius d 服务创建环境变量, RADIUS_MD5_FIPS_OVERRIDE

    systemctl edit radiusd
    
    [Service]
    Environment=RADIUS_MD5_FIPS_OVERRIDE=1
  2. 要应用更改,请重新载入 systemd 配置并启动 radiusd 服务:

    # systemctl daemon-reload
    # systemctl start radiusd
  3. 在调试模式下运行 FreeRADIUS:

    # RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X

请注意,虽然 FreeRADIUS 可以在 FIPS 模式下运行,但这并不表示它兼容 FIPS,因为它在 FIPS 模式中使用弱密码和功能。

有关在 FIPS 模式下配置 FreeRADIUS 身份验证的更多信息,请参阅 如何在 FIPS 模式下配置 FreeRADIUS 身份验证

(BZ#1958979)

以打印服务器运行 Samba 时需要的操作

在这个版本中,samba 软件包 不再创建 /var/spool/samba/ 目录。如果您使用 Samba 作为打印服务器,并在 [printers] 共享中使用 /var/spool/samba/ 来假脱机打印作业,SELinux 会阻止 Samba 用户在此目录中创建文件。因此,打印作业失败,audit d 服务在 /var/log/audit/audit.log 中记录 拒绝 的消息。要在将系统更新至 RHEL 8.5 后避免这个问题:

  1. /etc/samba/smb.conf 文件中搜索 [printers] 共享。
  2. 如果共享定义包含 path = /var/spool/samba/,请更新设置并将 path 参数设置为 /var/tmp/
  3. 重启 smbd 服务:

    # systemctl restart smbd

如果您在 RHEL 8.5 中新安装了 Samba,则不需要任何操作。RHEL 8.5 上的 samba-common 软件包提供的默认 /etc/samba/smb.conf 文件已使用 /var/tmp/ 目录来 spool 打印作业。

(BZ#2009213)

NSS 中已启用密码 的默认 关键字与其他密码不一起工作

在 Directory Server 中,您可以使用 default 关键字引用网络安全服务(NSS)中启用的默认密码。但是,如果您想要使用命令行或 Web 控制台启用默认密码和其他密码,则 Directory Server 无法解析 default 关键字。因此,服务器只启用额外指定的密码并记录以下错误:

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

作为临时解决方案,请指定在 NSS 中默认启用的所有密码,包括您要额外启用的密码。

(BZ#1817505)