Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

14.3. 既知の問題

SID のないユーザーは、アップグレード後に IdM にログインできない

Identity Management (IdM) レプリカを RHEL 9.2 にアップグレードした後、IdM Kerberos Distribution Centre (KDC) は、アカウントにセキュリティー識別子 (SID) が割り当てられていないユーザーに Ticket-Granting Ticket (TGT) を発行できない場合があります。その結果、ユーザーは自分のアカウントにログインできなくなります。

この問題を回避するには、トポロジー内の別の IdM レプリカで IdM 管理者として次のコマンドを実行して SID を生成します。 

# ipa config-mod --enable-sid --add-sids

その後もユーザーがログインできない場合は、Directory Server のエラーログを調べてください。ユーザーの POSIX ID を含めるように ID 範囲を調整する必要がある場合があります。

RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する

FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。

この制約により、最初のサーバーが RHEL 8.6 以前のシステムにインストールされた FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 IdM レプリカを追加することはできません。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。詳細は、KCS ソリューション AD Domain Users unable to login in to the FIPS-compliant environment を参照してください。

注記

RHEL 7 および RHEL 8 サーバーで不足している AES HMAC-SHA2 で暗号化された Kerberos キーを生成する手順を提供する作業が進行中です。これにより、RHEL 9 レプリカで FIPS 140-3 準拠が達成されます。ただし、このプロセスを完全に自動化することはできません。これは、Kerberos キー暗号化の設計により、既存のキーを別の暗号化タイプに変換することが不可能になるためです。唯一の方法は、ユーザーにパスワードの更新を求めることです。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る