Red Hat Summit10.10. IdM (Identity Management)
FIPS 모드에서 IdM은 NTLMSSP 프로토콜 사용을 지원하지 않습니다.
NTLMSSP(New Technology LAN Manager Security Support Provider) 인증이 FIPS와 호환되지 않기 때문에 FIPS(Active Directory)와 FIPS 모드가 활성화된 IdM(Identity Management) 간 양방향 교차 포리스트 트러스트를 설정할 수 없습니다. FIPS 모드의 IdM은 AD 도메인 컨트롤러에서 인증을 시도할 때 사용하는 RC4 NTLM 해시를 허용하지 않습니다.
Jira:RHEL-12154[1]
FIPS 모드에서 RHEL 10 IdM 서버를 사용하여 RHEL 7 IdM 클라이언트 설치 실패
FIPS 지원 RHEL 10 시스템에서 TLS 1.2 연결에 대해 TLS 7627) 확장(RFC 7627)이 필요합니다. 이는 FIPS-140-3 요구 사항에 따라 수행됩니다. 그러나 RHEL 7.9 이상에서 사용할 수 있는 openssl 버전은 Cryostat를 지원하지 않습니다. 결과적으로 RHEL 10에서 실행되는 FIPS 지원 IdM 서버를 사용하여 RHEL 7 IdM(Identity Management) 클라이언트를 설치할 수 없습니다.
해결방법: IdM 클라이언트를 설치하기 전에 호스트를 RHEL 8 이상으로 업그레이드합니다.
Jira:RHELDOCS-19015[1]
RHEL IdM에서 DNSSEC가 제대로 작동하지 않음
RHEL 10.0의 IdM(Identity Management)에서 DNSSEC(DNS Security Extensions)가 제대로 작동하지 않는 이유는 해결되지 않은 여러 문제로 인해 openssl-pkcs11 OpenSSL 엔진을 pkcs11-provider OpenSSL 공급자로 대체할 수 있기 때문입니다.
OpenSSL의 변경 사항은 RHEL IdM의 통합 DNS 기능에 영향을 미쳤습니다. 특히 ipa, bind ,bind -dyndb-ldapsofthsm 및 python-cryptography, 이러한 구성 요소가 보안 모듈과 상호 작용하는 방식을 포함하여 IdM의 여러 구성 요소에 영향을 미칩니다.
SSSD에 의해 adcli 실행을 통한 자동 호스트 키탭 갱신이 실패했습니다.
직접 SSSD-AD 통합에서 SSSD는 시스템 계정 암호가 구성된 기간(일)보다 오래되고 필요한 경우 갱신을 시도합니다. 구성된 기간은 ad_maximum_machine_account_password_age 값으로 설정되며 기본값은 30 일입니다. 값이 0 이면 갱신 시도를 비활성화합니다.
그러나 현재 문제가 발생하여 시스템 계정 암호의 자동 갱신이 실패합니다. 암호가 만료된 경우 호스트에서 AD 도메인에 대한 액세스 권한이 손실될 수 있습니다.
해결방법: 수동으로 또는 다른 방법을 통해 암호를 갱신합니다. SSSD 자동 갱신에 의존하지 마십시오.
Jira:RHELDOCS-19172[1]
dsctl healthcheck 는 잘못된 데이터베이스 유형을 보고할 수 있습니다.
Lightning Memory-Mapped Database Manager(LMDB) 데이터베이스 유형으로 인스턴스를 생성한 경우 dsctl healthcheck 명령을 실행하면 Directory Server에서 잘못된 구성 매개변수를 확인하므로 다음 오류 메시지 중 하나가 발생할 수 있습니다.
-
DSBLE0005. 백엔드 구성 속성이 일치하지 않습니다. -
DSBLE0006. BDB는 여전히 백엔드로 사용됩니다.
해결방법: dsctl healthcheck 를 실행하기 전에 NSSLAPD_DB_LIB 환경 변수를 mdb 로 설정합니다.
Jira:RHELDOCS-19014[1]
BDB에서 LMDB로 마이그레이션하는 동안 오류 메시지가 표시됩니다.
dsctl dblib bdb2mdb 명령을 실행하여 Berkeley Database(BDB)에서 Lightning Memory-Mapped Database Manager(LMDB)로 마이그레이션하고 복제를 활성화하지 않은 경우 다음 오류 메시지가 출력에 표시됩니다.
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
오류 메시지는 무시할 수 있습니다. 이 오류는 Directory Server에서 복제가 비활성화될 때 필수가 아닌 replication_changelog.db 파일을 찾기 때문에 발생합니다. 이 오류는 BDB에서 LMDB로의 마이그레이션을 방지하지 않습니다.
현재 이 문제에 대한 해결방법이 없습니다.
Jira:RHELDOCS-19016[1]
ldapmodify 는 cn=config의 속성에서 단일 특정 값을 삭제하지 않음
현재 cn=config 의 속성에서 값을 삭제하려고 하면 값이 속성에 남아 있으며 서버를 완전히 제거하려면 서버를 다시 시작해야 할 수 있습니다.
해결방법: 값을 지정하지 않고 수정 작업을 수행하여 모든 값을 포함하여 전체 속성을 제거합니다. 그런 다음 필요한 값을 다시 추가합니다. 또는 다음 dsconf 명령을 사용하여 서버를 다시 시작하지 않고 특정 값을 제거합니다.
dsconf <instance_name> config delete <attribute_name>=<undesired_value>
# dsconf <instance_name> config delete <attribute_name>=<undesired_value>
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}