6.7.13. Gestão da Identidade
Usuários AD com contas expiradas podem ser autorizados a fazer o login ao usar a autenticação GSSAPI
O atributo accountExpires que o SSSD usa para ver se uma conta expirou não é replicada para o catálogo global por padrão. Como resultado, os usuários com contas expiradas podem fazer o login ao usar a autenticação GSSAPI. Para contornar este problema, o suporte do catálogo global pode ser desativado especificando ad_enable_gc=False no arquivo sssd.conf. Com esta configuração, os usuários com contas expiradas serão negados o acesso ao usar a autenticação GSSAPI.
Observe que o SSSD se conecta a cada servidor LDAP individualmente neste cenário, o que pode aumentar a contagem de conexões.
(BZ#1081046)
Usando o utilitário cert-fix com a opção --agent-uid pkidbuser break Certificate System
O uso do utilitário cert-fix com a opção --agent-uid pkidbuser corrompe a configuração LDAP do Sistema de Certificado. Como conseqüência, o Sistema de Certificado pode se tornar instável e são necessários passos manuais para recuperar o sistema.
A mudança /etc/nsswitch.conf requer uma reinicialização manual do sistema
Qualquer alteração no arquivo /etc/nsswitch.conf, por exemplo rodando o comando authselect select profile_id, requer uma reinicialização do sistema para que todos os processos relevantes usem a versão atualizada do arquivo /etc/nsswitch.conf. Se uma reinicialização do sistema não for possível, reinicie o serviço que une seu sistema ao Active Directory, que é o System Security Services Daemon (SSSD) ou winbind.
Nenhuma informação sobre os registros DNS necessários exibidos ao permitir o suporte à confiança do AD na IdM
Ao permitir o suporte à confiança do Active Directory (AD) na instalação do Red Hat Enterprise Linux Identity Management (IdM) com gerenciamento DNS externo, nenhuma informação sobre os registros DNS necessários é exibida. A confiança da floresta no AD não é bem sucedida até que os registros DNS requeridos sejam adicionados. Para contornar este problema, execute o comando 'ipa dns-update-system-records --dry-run' para obter uma lista de todos os registros DNS requeridos pelo IdM. Quando o DNS externo para o domínio IdM definir os registros DNS necessários, é possível estabelecer a confiança da floresta no AD.
SSSD devolve a adesão incorreta ao grupo LDAP para usuários locais
Se o Serviço de Segurança do Sistema Daemon (SSSD) atende usuários de arquivos locais, o provedor de arquivos não inclui membros de grupo de outros domínios. Como conseqüência, se um usuário local é membro de um grupo LDAP, o comando id local_user não retorna a filiação do usuário ao grupo LDAP. Para contornar o problema, ou reverta a ordem dos bancos de dados onde o sistema está procurando a filiação em grupo de usuários no arquivo /etc/nsswitch.conf, substituindo arquivos sss por arquivos sss, ou desabilite o domínio de arquivos implícito, adicionando
enable_files_domain=False
para a seção [sssd] no arquivo /etc/sssd/sssd.conf.
Como resultado, id local_user retorna a adesão correta ao grupo LDAP para usuários locais.
As configurações padrão do PAM para o usuário do sistema foram alteradas no RHEL 8, o que pode influenciar o comportamento do SSSD
A pilha de módulos de autenticação Pluggable (PAM) mudou no Red Hat Enterprise Linux 8. Por exemplo, a sessão do usuário do sistema agora inicia uma conversa PAM usando o serviço PAM do usuário do sistema. Este serviço agora inclui recursivamente o serviço PAM system-auth, que pode incluir a interface pam_sss.so. Isto significa que o controle de acesso SSSD é sempre chamado.
Esteja ciente da mudança ao projetar regras de controle de acesso para os sistemas RHEL 8. Por exemplo, você pode adicionar o serviço de usuário do sistema à lista de serviços permitidos.
Observe que para alguns mecanismos de controle de acesso, tais como IPA HBAC ou AD GPOs, o serviço de usuário do sistema foi adicionado à lista de serviços permitidos por padrão e você não precisa tomar nenhuma ação.
O SSSD não lida corretamente com múltiplas regras de correspondência de certificados com a mesma prioridade
Se um determinado certificado corresponde a várias regras de correspondência de certificados com a mesma prioridade, o System Security Services Daemon (SSSD) utiliza apenas uma das regras. Como alternativa, use uma única regra de correspondência de certificado cujo filtro LDAP consiste nos filtros das regras individuais concatenadas com o | (ou) operador. Para exemplos de regras de correspondência de certificados, consulte a página de manual sss-certamp(5).
(BZ#1447945)
Grupos privados não podem ser criados com auto_private_group = híbrido quando múltiplos domínios são definidos
Grupos privados não podem ser criados com a opção auto_private_group = híbrido quando múltiplos domínios são definidos e a opção híbrida é usada por qualquer domínio que não seja o primeiro. Se um domínio de arquivos implícito for definido junto com um domínio AD ou LDAP no arquivo sssd.conf e não estiver marcado como `MPG_HYBRID, então o SSSD falha em criar um grupo privado para um usuário que tem uid=gid e o grupo com este gid não existe no AD ou LDAP.
O respondedor sssd_nss verifica o valor da opção auto_private_groups apenas no primeiro domínio. Como conseqüência, em configurações onde vários domínios são configurados, o que inclui a configuração padrão no RHEL 8, a opção auto_private_groups não tem efeito.
Para contornar este problema, configure enable_files_domain = falso na seção sssd do sssd.conf. Como resultado, se a opção enable_files_domain estiver definida como falsa, então o sssd não adiciona um domínio com id_provider=files no início da lista de domínios ativos e, portanto, este bug não ocorre.
(BZ#1754871)
python-ply não é compatível com FIPS
O módulo YACC do pacote python-ply utiliza o algoritmo de hashing MD5 para gerar a impressão digital de uma assinatura YACC. Entretanto, o modo FIPS bloqueia o uso do MD5, que só é permitido em contextos sem segurança. Como conseqüência, o python-ply não é compatível com o FIPS. Em um sistema em modo FIPS, todas as chamadas para ply.yacc.yacc() falham com a mensagem de erro:
"UnboundLocalError: variável local 'sig' referenciada antes da atribuição"
O problema afeta o python-pycparser e alguns casos de uso de python-cffi. Para contornar este problema, modificar a linha 2966 do arquivo /usr/lib/python3.6/site-packages/ply/yacc.py, substituindo sig = md5() por sig = md5(usado para segurança=False). Como resultado, o python-ply pode ser usado no modo FIPS.
