11.10. Gestão da Identidade
A mudança /etc/nsswitch.conf requer uma reinicialização manual do sistema
Qualquer alteração no arquivo /etc/nsswitch.conf, por exemplo rodando o comando authselect select profile_id, requer uma reinicialização do sistema para que todos os processos relevantes usem a versão atualizada do arquivo /etc/nsswitch.conf. Se uma reinicialização do sistema não for possível, reinicie o serviço que une seu sistema ao Active Directory, que é o System Security Services Daemon (SSSD) ou winbind.
SSSD retorna a adesão incorreta ao grupo LDAP para usuários locais quando o domínio de arquivos está habilitado
Se o Daemon System Security Services (SSSD) serve usuários dos arquivos locais e o atributo ldap_rfc2307_fallback_to_local_users na seção [domínio/LDAP] do arquivo sssd.conf é definido como True, então o provedor de arquivos não inclui membros de grupo de outros domínios. Como conseqüência, se um usuário local é membro de um grupo LDAP, o comando id local_user não retorna a filiação do usuário ao grupo LDAP. Para contornar este problema, desabilite o domínio de arquivos implícito, adicionando
enable_files_domain=False
para a seção [sssd] no arquivo /etc/sssd/sssd.conf.
Como resultado, id local_user retorna a adesão correta ao grupo LDAP para usuários locais.
O SSSD não lida corretamente com múltiplas regras de correspondência de certificados com a mesma prioridade
Se um determinado certificado corresponde a várias regras de correspondência de certificados com a mesma prioridade, o System Security Services Daemon (SSSD) utiliza apenas uma das regras. Como alternativa, use uma única regra de correspondência de certificado cujo filtro LDAP consiste nos filtros das regras individuais concatenadas com o | (ou) operador. Para exemplos de regras de correspondência de certificados, consulte a página de manual sss-certamp(5).
(BZ#1447945)
Grupos privados não podem ser criados com auto_private_group = híbrido quando múltiplos domínios são definidos
Grupos privados não podem ser criados com a opção auto_private_group = híbrido quando múltiplos domínios são definidos e a opção híbrida é usada por qualquer domínio que não seja o primeiro. Se um domínio de arquivos implícito for definido junto com um domínio AD ou LDAP no arquivo sssd.conf e não estiver marcado como MPG_HYBRID, então o SSSD falha em criar um grupo privado para um usuário que tem uid=gid e o grupo com este gid não existe no AD ou LDAP.
O respondedor sssd_nss verifica o valor da opção auto_private_groups apenas no primeiro domínio. Como conseqüência, em configurações onde vários domínios são configurados, o que inclui a configuração padrão no RHEL 8, a opção auto_private_groups não tem efeito.
Para contornar este problema, configure enable_files_domain = falso na seção sssd do sssd.conf. Como resultado, se a opção enable_files_domain estiver definida como falsa, então o sssd não adiciona um domínio com id_provider=files no início da lista de domínios ativos e, portanto, este bug não ocorre.
(BZ#1754871)
python-ply não é compatível com FIPS
O módulo YACC do pacote python-ply utiliza o algoritmo de hashing MD5 para gerar a impressão digital de uma assinatura YACC. Entretanto, o modo FIPS bloqueia o uso do MD5, que só é permitido em contextos sem segurança. Como conseqüência, o python-ply não é compatível com o FIPS. Em um sistema em modo FIPS, todas as chamadas para ply.yacc.yacc() falham com a mensagem de erro:
UnboundLocalError: variável local 'sig' referenciada antes da atribuição
O problema afeta o python-pycparser e alguns casos de uso de python-cffi. Para contornar este problema, modificar a linha 2966 do arquivo /usr/lib/python3.6/site-packages/ply/yacc.py, substituindo sig = md5() por sig = md5(usado para segurança=False). Como resultado, o python-ply pode ser usado no modo FIPS.
FreeRADIUS truncata silenciosamente Túnel-Palavras-palavras com mais de 249 caracteres
Se uma senha de túnel tiver mais de 249 caracteres, o serviço FreeRADIUS a truncará silenciosamente. Isto pode levar a incompatibilidades inesperadas de senhas com outros sistemas.
Para contornar o problema, escolha uma senha que tenha 249 caracteres ou menos.
A instalação da KRA falha se todos os membros da KRA forem réplicas ocultas
O utilitário ipa-kra-install falha em um cluster onde a Key Recovery Authority (KRA) já está presente se a primeira instância da KRA for instalada em uma réplica oculta. Conseqüentemente, não é possível adicionar mais instâncias KRA ao cluster.
Para contornar este problema, descubra a réplica oculta que tem o papel de KRA antes de acrescentar novas instâncias de KRA. Você pode escondê-la novamente quando a instalação do ipa-kra-install for concluída com sucesso.
O Servidor de Diretório adverte sobre atributos ausentes no esquema se esses atributos forem utilizados em um filtro de busca
Se você definir o parâmetro nsslapd-verify-filter-schema para alertar-invalidar, o Servidor de Diretório processa operações de busca com atributos que não estão definidos no esquema e registra um aviso. Com esta configuração, o Servidor de Diretório retorna os atributos solicitados nos resultados da busca, independentemente de os atributos estarem ou não definidos no esquema.
Uma versão futura do Servidor de Diretório mudará a configuração padrão do esquema nsslapd-verify-filter para impor verificações mais rígidas. O novo padrão advertirá sobre atributos que estão faltando no esquema, e rejeitará pedidos ou retornará apenas resultados parciais.
ipa-healthcheck-0.4 não torna obsoletas as versões mais antigas do ipa-healthcheck
A ferramenta Healthcheck foi dividida em dois sub-pacotes: ipa-healthcheck e ipa-healthcheck-core. Entretanto, apenas o sub-pacote ipa-healthcheck-core está corretamente configurado para versões obsoletas do ipa-healthcheck. Como resultado, a atualização do Healthcheck apenas instala o ipa-healthcheck-core e o comando ipa-healthcheck não funciona após a atualização.
Para contornar este problema, instale o sub-pacote ipa-healthcheck-0.4 manualmente usando o yum install ipa-healthcheck-0.4.
