14.2. 既知の問題
SID のないユーザーは、アップグレード後に IdM にログインできない
Identity Management (IdM) レプリカを RHEL 9.2 にアップグレードした後、IdM Kerberos Distribution Center (KDC) は、アカウントにセキュリティー識別子 (SID) が割り当てられていないユーザーに Ticket-Granting Ticket (TGT) を発行できない場合があります。その結果、ユーザーは自分のアカウントにログインできなくなります。
この問題を回避するには、トポロジー内の別の IdM レプリカで IdM 管理者として次のコマンドを実行して SID を生成します。
# ipa config-mod --enable-sid --add-sids
その後もユーザーがログインできない場合は、Directory Server のエラーログを調べてください。ユーザーの POSIX ID を含めるように ID 範囲を調整する必要がある場合があります。
RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する
FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。
この制約により、最初のサーバーが RHEL 8.6 以前のシステムにインストールされた FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 IdM レプリカを追加することはできません。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。
この問題を回避するには、RHEL 9 レプリカで AES HMAC-SHA1 の使用を有効にします。
# update-crypto-policies --set FIPS:AD-SUPPORT
暗号化ポリシーを FIPS:AD-SUPPORT に設定することにより、FIPS 140-3 に準拠する、すでに許可されている暗号化タイプのリストに次の暗号化タイプを追加します。
- aes256-cts:normal
- aes256-cts:special
- aes128-cts:normal
- aes128-cts:special
その結果、RHEL 9 レプリカの IdM デプロイメントへの追加が正しく進行します。
RHEL 7 および RHEL 8 サーバーで不足している AES HMAC-SHA2 で暗号化された Kerberos キーを生成する手順を提供する作業が進行中です。これにより、RHEL 9 レプリカで FIPS 140-3 準拠が達成されます。ただし、このプロセスを完全に自動化することはできません。これは、Kerberos キー暗号化の設計により、既存のキーを別の暗号化タイプに変換することが不可能になるためです。唯一の方法は、ユーザーにパスワードの更新を求めることです。
RHEL 8 デプロイメントの最初の IdM サーバーで次のコマンドを入力すると、IdM マスターキーの暗号化タイプを表示できます。
# kadmin.local getprinc K/M | grep -E '^Key:'
出力の文字列に sha1 という用語が含まれている場合、RHEL 9 レプリカで AES HMAC-SHA1 の使用を有効にする必要があります。
Microsoft の Active Directory 実装は、SHA-2 HMAC を使用する RFC8009 Kerberos 暗号化タイプをまだサポートしていません。したがって、IdM-AD 信頼が設定されている場合、IdM マスターキーの暗号化タイプが aes256-cts-hmac-sha384-192 であっても、FIPS:AD-SUPPORT 暗号サブポリシーの使用が必要になります。
