18.2. Problèmes connus
Les utilisateurs qui n'ont pas de SID ne peuvent pas se connecter à IdM après une mise à jour
Après la mise à niveau de votre réplique de gestion des identités (IdM) vers RHEL 9.2, le centre de distribution Kerberos (KDC) de l'IdM peut ne pas délivrer de tickets d'attribution de tickets (TGT) aux utilisateurs qui n'ont pas d'identifiants de sécurité (SID) attribués à leurs comptes. Par conséquent, les utilisateurs ne peuvent pas se connecter à leurs comptes.
Pour contourner le problème, générez des SID en exécutant la commande suivante en tant qu'administrateur IdM sur une autre réplique IdM dans la topologie :
# ipa config-mod --enable-sid --add-sids
Ensuite, si les utilisateurs ne peuvent toujours pas se connecter, examinez le journal des erreurs du serveur d'annuaire. Vous devrez peut-être ajuster les plages d'ID pour inclure les identités POSIX des utilisateurs.
L'ajout d'une réplique RHEL 9 en mode FIPS à un déploiement IdM en mode FIPS initialisé avec RHEL 8.6 ou une version antérieure échoue
La politique cryptographique FIPS par défaut de RHEL 9 visant à se conformer à la norme FIPS 140-3 n'autorise pas l'utilisation de la fonction de dérivation de clé des types de chiffrement AES HMAC-SHA1, telle que définie par la RFC3961, section 5.1.
Cette contrainte ne vous permet pas d'ajouter une réplique IdM RHEL 9 en mode FIPS à un environnement IdM RHEL 8 en mode FIPS dans lequel le premier serveur a été installé sur un système RHEL 8.6 ou antérieur. En effet, il n'existe pas de types de chiffrement communs entre RHEL 9 et les versions précédentes de RHEL, qui utilisent généralement les types de chiffrement AES HMAC-SHA1, mais pas les types de chiffrement AES HMAC-SHA2.
Pour contourner le problème, activez l'utilisation de AES HMAC-SHA1 sur la réplique RHEL 9 :
# update-crypto-policies --set FIPS:AD-SUPPORT
En définissant la politique cryptographique sur FIPS:AD-SUPPORT
, vous ajoutez les types de chiffrement suivants à la liste des types de chiffrement déjà autorisés et conformes à la norme FIPS 140-3 :
- aes256-cts:normal
- aes256-cts:spécial
- aes128-cts:normal
- aes128-cts:special
Par conséquent, l'ajout de la réplique RHEL 9 au déploiement IdM se déroule correctement.
Des travaux sont en cours pour fournir une procédure permettant de générer les clés Kerberos AES HMAC-SHA2 manquantes sur les serveurs RHEL 7 et RHEL 8. Cela permettra d'atteindre la conformité FIPS 140-3 sur la réplique RHEL 9. Toutefois, ce processus ne peut pas être entièrement automatisé, car la conception de la cryptographie des clés Kerberos rend impossible la conversion des clés existantes en différents types de cryptage. La seule solution consiste à demander aux utilisateurs de renouveler leurs mots de passe.
Vous pouvez afficher le type de cryptage de votre clé principale IdM en entrant la commande suivante sur le premier serveur IdM du déploiement RHEL 8 :
# kadmin.local getprinc K/M | grep -E '^Key:'
Si la chaîne de sortie contient le terme sha1
, vous devez activer l'utilisation de AES HMAC-SHA1 sur la réplique RHEL 9.
L'implémentation Active Directory de Microsoft ne prend pas encore en charge les types de chiffrement Kerberos RFC8009 qui utilisent SHA-2 HMAC. Si une confiance IdM-AD est configurée, l'utilisation de la sous-politique cryptographique FIPS:AD-SUPPORT est donc requise même si le type de chiffrement de votre clé principale IdM est aes256-cts-hmac-sha384-192
.