Red Hat Summit10.10. Identity Management
FIPS モードの IdM は、双方向のフォレスト間信頼を確立するための NTLMSSP プロトコルの使用をサポートしない
FIPS モードが有効な Active Directory (AD) と Identity Management (IdM) との間で双方向のフォレスト間の信頼を確立すると、New Technology LAN Manager Security Support Provider (NTLMSSP) 認証が FIPS に準拠していないため、失敗します。FIPS モードの IdM は、認証の試行時に AD ドメインコントローラーが使用する RC4 NTLM ハッシュを受け入れません。
Jira:RHEL-12154[1]
EMS 強制により、FIPS モードで RHEL 10 IdM サーバーを使用した RHEL 7 IdM クライアントのインストールが失敗する
FIPS 対応の RHEL 10 システムでは、TLS 1.2 接続に TLS Extended Master Secret (EMS) エクステンション (RFC 7627) が必須になりました。これは FIPS-140-3 要件に準拠しています。ただし、RHEL 7.9 以前で利用可能な openssl バージョンは EMS をサポートしていません。その結果、RHEL 10 で実行されている FIPS 対応の Identity Management (IdM) サーバーを使用して RHEL 7 IdM クライアントをインストールすると失敗します。
回避策: IdM クライアントをインストールする前に、ホストを RHEL 8 以降にアップグレードします。
Jira:RHELDOCS-19015[1]
RHEL IdM で DNSSEC が正しく動作しない
RHEL 10.0 の Identity Management (IdM) では、DNS Security Extensions (DNSSEC) が正しく機能しません。これは、openssl-pkcs11 OpenSSL エンジンを pkcs11-provider OpenSSL プロバイダーに置き換えたことで生じた複数の未解決の問題によるものです。
OpenSSL によって導入された変更により、RHEL IdM 内の統合 DNS 機能が影響を受けました。具体的には、ipa、bind、bind-dyndb-ldap、softhsm、python-cryptography など、IdM の複数のコンポーネントと、これらのコンポーネントがセキュリティーモジュールとやり取りする方法が変更の影響を受けています。
SSSD が実行する adcli 経由のホストキータブの自動更新が失敗する
SSSD-AD の直接統合では、SSSD はマシンアカウントのパスワードが設定された有効期間を経過しているかを毎日確認し、必要に応じて更新を試みます。設定された有効期間は ad_maximum_machine_account_password_age 値によって決まり、デフォルトは 30 日です。値が 0 の場合、更新を試行しても無効になります。
しかし、現在問題が発生しており、マシンアカウントパスワードの自動更新が失敗します。パスワードの有効期限が切れると、ホストは AD ドメインにアクセスできなくなる可能性があります。
回避策: パスワードを手動で、または別の方法で更新します。SSSD の自動更新に依存しないでください。
Jira:RHELDOCS-19172[1]
dsctl healthcheck が間違ったデータベースタイプを報告する可能性がある
Lightning Memory-Mapped Database Manager (LMDB) データベースタイプを使用してインスタンスを作成した場合、dsctl healthcheck コマンドを実行すると、Directory Server が誤った設定パラメーターをチェックするため、次のいずれかのエラーメッセージが表示されることがあります。
-
DSBLE0005: Backend configuration attributes mismatch. -
DSBLE0006: BDB is still used as a backend.
回避策: dsctl healthcheck を実行する前に、NSSLAPD_DB_LIB 環境変数を mdb に設定します。
Jira:RHELDOCS-19014[1]
BDB から LMDB への移行中にエラーメッセージが表示される
dsctl dblib bdb2mdb コマンドを実行して Berkeley Database (BDB) から Lightning Memory-Mapped Database Manager (LMDB) に移行する際に、レプリケーションを有効にしていないと、出力に次のエラーメッセージが表示されます。
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
エラーメッセージは無視できる点に留意してください。このエラーは、レプリケーションが無効になっているときに、Directory Server が必須ではない replication_changelog.db ファイルを見つけようとするため発生します。このエラーは、BDB から LMDB への移行を阻止するものではありません。
現在、この問題に対する回避策はありません。
Jira:RHELDOCS-19016[1]
ldapmodify は cn=config 内のどの属性からも特定の値を 1 つも削除しない
現在、cn=config 内の任意の属性から値を削除しようとすると、その値は属性内に残り、完全に削除するにはサーバーの再起動が必要になる場合があります。
回避策: 値を指定せずに変更操作を実行して、すべての値を含む属性全体を削除します。次に、必要な値を再度追加します。または、次の dsconf コマンドを使用して、サーバーを再起動せずに特定の値を削除します。
dsconf <instance_name> config delete <attribute_name>=<undesired_value>
# dsconf <instance_name> config delete <attribute_name>=<undesired_value>
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}