第17章 認証および相互運用性
SSSD が IdM LDAP ツリーからの sudo ルールの管理に失敗する
System Security Services Daemon (SSSD) は現在、デフォルトで IdM LDAP ツリーを使用します。このため、sudo ルールを非 POSIX グループに割り当てることができません。この問題を回避するには、
/etc/sssd/sssd.conf
ファイルを修正し、ドメインが compat
ツリーを再度使用するように設定します。
[domain/EXAMPLE] ... ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
こうすることで、SSSD は sudo ルールを
compat
ツリーから読み込むようになり、ルールを非 POSIX グループに割り当てることができるようになります。
Red Hat では、sudo ルールで言及されるグループを POSIX グループと設定するよう推奨しています。(BZ#1336548)
winbindd
が新規 AD 信頼のインストール時にクラッシュする
新規にインストールされたシステムで新たな Active Directory (AD) 信頼を設定すると、
winbindd
サービスが予期せず終了したと ipa-adtrust-install
ユーティリティーが報告する場合があります。この報告がなければ、ipa-adtrust-install
は正常に完了しています。
この問題が発生したら、
ipa-adtrust-install
を実行した後に ipactl restart
コマンドを使用して IdM サービスを再起動します。これで winbindd
も再起動します。
この問題による機能面での影響については、完全に分かっているわけではないことに注意してください。信頼の機能のなかには、
winbindd
を再起動するまで機能しないものもあります。(BZ#1399058)
ネットワーク接続が完全に確立される前に nslcd
を起動すると、ユーザーやグループのアイデンティティーの解決に失敗する
ローカルの LDAP ネームサービスデーモンである
nslcd
をネットワーク接続が完全にアップする前に起動すると、デーモンが LDAP サーバーへの接続に失敗します。このため、ユーザーやグループのアイデンティティーの解決に失敗します。この問題を回避するには、ネットワーク接続が確立されてから nslcd
を起動します。(BZ#1401632)