Red Hat Summit14.3. 확인된 문제
iPXE가 없는 사용자는 업그레이드 후 IdM에 로그인할 수 없습니다.
IdM(Identity Management) 복제본을 RHEL 9.2로 업그레이드한 후 IdM Kerberos Distribution Centre(KDC)에서 계정에 할당된 SID(보안 식별자)가 없는 사용자에게 TGT( ticket-granting ticket)를 발행하지 못할 수 있습니다. 따라서 사용자는 자신의 계정에 로그인할 수 없습니다.
이 문제를 해결하려면 토폴로지의 다른 IdM 복제본에서 IdM 관리자로 다음 명령을 실행하여 CloudEvents를 생성합니다.
# ipa config-mod --enable-sid --add-sids
이후 사용자가 여전히 로그인할 수 없는 경우 Directory Server 오류 로그를 검사합니다. 사용자 POSIX ID를 포함하도록 ID 범위를 조정해야 할 수 있습니다.
RHEL 8.6 또는 이전 버전에서 초기화된 FIPS 모드의 IdM 배포에 FIPS 모드에서 RHEL 9 복제본을 추가하는 데 실패합니다.
FIPS 140-3을 준수하려는 기본 RHEL 9 FIPS 암호화 정책은 RFC3961 섹션 5.1에 정의된 대로 AES HMAC-SHA1 암호화 유형의 키 파생 기능을 사용할 수 없습니다.
이 제약 조건으로 인해 첫 번째 서버가 RHEL 8.6 또는 이전 시스템에 설치된 FIPS 모드의 RHEL 8 IdM 환경에 FIPS 모드에서 RHEL 9 IdM 복제본을 추가할 수 없습니다. 이는 RHEL 9와 이전 RHEL 버전 간에 일반적으로 AES HMAC-SHA1 암호화 유형을 사용하지만 AES HMAC-SHA2 암호화 유형을 사용하지 않기 때문입니다. 자세한 내용은 AD 도메인 사용자가 FIPS 호환 환경 KCS 솔루션에 로그인할 수 없는 것을 참조하십시오.
RHEL 7 및 RHEL 8 서버에서 누락된 AES HMAC-SHA2- 암호화 Kerberos 키를 생성하는 절차를 제공하는 작업이 진행 중입니다. 이렇게 하면 RHEL 9 복제본에서 FIPS 140-3 컴플라이언스를 얻을 수 있습니다. 그러나 Kerberos 키 암호화의 설계로 인해 기존 키를 다른 암호화 유형으로 변환할 수 없기 때문에 이 프로세스를 완전히 자동화할 수 없습니다. 유일한 방법은 사용자에게 암호를 업데이트하도록 요청하는 것입니다.
