6.7.13. Gestión de la identidad
Los usuarios de AD con cuentas caducadas pueden iniciar sesión cuando se utiliza la autenticación GSSAPI
El atributo accountExpires que SSSD utiliza para ver si una cuenta ha caducado no se replica al catálogo global por defecto. Como resultado, los usuarios con cuentas caducadas pueden iniciar sesión cuando se utiliza la autenticación GSSAPI. Para solucionar este problema, se puede desactivar el soporte del catálogo global especificando ad_enable_gc=False en el archivo sssd.conf. Con esta configuración, los usuarios con cuentas caducadas no podrán acceder cuando utilicen la autenticación GSSAPI.
Tenga en cuenta que SSSD se conecta a cada servidor LDAP individualmente en este escenario, lo que puede aumentar el número de conexiones.
(BZ#1081046)
El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser rompe el sistema de certificados
El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser corrompe la configuración LDAP de Certificate System. Como consecuencia, el sistema de certificados puede volverse inestable y es necesario tomar medidas manuales para recuperar el sistema.
Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema
Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.
No se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM
Cuando se habilita el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se muestra información sobre los registros DNS requeridos. La confianza del bosque en AD no tiene éxito hasta que se añaden los registros DNS requeridos. Para solucionar este problema, ejecute el comando 'ipa dns-update-system-records --dry-run' para obtener una lista de todos los registros DNS requeridos por IdM. Cuando el DNS externo para el dominio de IdM define los registros DNS necesarios, es posible establecer la confianza del bosque en AD.
SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales
Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar el problema, invierta el orden de las bases de datos en las que el sistema busca la pertenencia a grupos de los usuarios en el archivo /etc/nsswitch.conf, sustituyendo sss files por files sss, o desactive el dominio implícito de files añadiendo
enable_files_domain=False
a la sección [sssd] en el archivo /etc/sssd/sssd.conf.
Como resultado, id local_user devuelve la pertenencia correcta al grupo LDAP para los usuarios locales.
La configuración PAM por defecto para systemd-user ha cambiado en RHEL 8, lo que puede influir en el comportamiento de SSSD
La pila de módulos de autenticación enchufables (PAM) ha cambiado en Red Hat Enterprise Linux 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM usando el servicio systemd-user PAM. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.
Tenga en cuenta este cambio cuando diseñe las reglas de control de acceso para los sistemas RHEL 8. Por ejemplo, puede añadir el servicio systemd-user a la lista de servicios permitidos.
Tenga en cuenta que para algunos mecanismos de control de acceso, como IPA HBAC o AD GPOs, el servicio systemd-user se ha añadido a la lista de servicios permitidos por defecto y no necesita realizar ninguna acción.
SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad
Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).
(BZ#1447945)
Los grupos privados no se crean con auto_private_group = hybrid cuando se definen varios dominios
Los grupos privados no se crean con la opción auto_private_group = hybrid cuando se definen varios dominios y la opción hybrid se utiliza en cualquier dominio que no sea el primero. Si se define un dominio de archivos implícito junto con un dominio AD o LDAP en el archivo sssd.conf` y no se marca como `MPG_HYBRID, entonces SSSD falla al crear un grupo privado para un usuario que tiene uid=gid y el grupo con este gid no existe en AD o LDAP.
El respondedor sssd_nss comprueba el valor de la opción auto_private_groups sólo en el primer dominio. Como consecuencia, en las configuraciones en las que hay varios dominios configurados, lo que incluye la configuración por defecto en RHEL 8, la opción auto_private_group no tiene ningún efecto.
Para solucionar este problema, establezca enable_files_domain = false en la sección sssd de sssd.conf. Como resultado, si la opción enable_files_domain se establece en false, entonces sssd no añade un dominio con id_provider=files al principio de la lista de dominios activos, y por lo tanto no se produce este error.
(BZ#1754871)
python-ply no es compatible con FIPS
El módulo YACC del paquete python-ply utiliza el algoritmo hash MD5 para generar la huella digital de una firma YACC. Sin embargo, el modo FIPS bloquea el uso de MD5, que sólo está permitido en contextos no relacionados con la seguridad. Como consecuencia, python-ply no es compatible con FIPS. En un sistema en modo FIPS, todas las llamadas a ply.yacc.yacc() fallan con el mensaje de error:
"UnboundLocalError: variable local 'sig' referenciada antes de la asignación"
El problema afecta a python-pycparser y a algunos casos de uso de python-cffi. Para solucionar este problema, modifique la línea 2966 del archivo /usr/lib/python3.6/site-packages/ply/yacc.py, sustituyendo sig = md5() por sig = md5(usedforsecurity=False). Como resultado, python-ply puede utilizarse en modo FIPS.
