6.5.9. Gestão da Identidade
A instalação da KRA falha se todos os membros da KRA forem réplicas ocultas
O utilitário ipa-kra-install
falha em um cluster onde a Key Recovery Authority (KRA) já está presente, se a primeira instância da KRA for instalada em uma réplica oculta. Conseqüentemente, não é possível adicionar mais instâncias KRA ao cluster.
Para contornar este problema, descubra a réplica oculta que tem o papel de KRA antes de acrescentar novas instâncias de KRA. Você pode escondê-la novamente quando a instalação do ipa-kra-install
for concluída com sucesso.
Usando o utilitário cert-fix
com a opção --agent-uid pkidbuser
break Certificate System
O uso do utilitário cert-fix
com a opção --agent-uid pkidbuser
corrompe a configuração LDAP do Sistema de Certificado. Como conseqüência, o Sistema de Certificado pode se tornar instável e são necessários passos manuais para recuperar o sistema.
Os certificados emitidos pela PKI ACME Responder ligado à PKI CA podem falhar a validação OCSP
O perfil padrão do certificado ACME fornecido pela PKI CA contém uma amostra de URL OCSP que não aponta para um serviço OCSP real. Como conseqüência, se o Respondente PKI ACME estiver configurado para usar um emissor PKI CA, os certificados emitidos pelo Respondente podem falhar na validação do OCSP.
Para contornar este problema, você precisa definir a propriedade policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 para um valor em branco no arquivo de configuração /usr/share/pki/ca/profiles/ca/acmeServerCert.cfg:
-
No arquivo de configuração do ACME Responder, altere a linha
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=http://ocsp.example.com
parapolicyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=
. - Reinicie o serviço e regenere o certificado.
Como resultado, a PKI CA gerará certificados ACME com um URL OCSP autogerado que aponta para um serviço OCSP real.
FreeRADIUS truncata silenciosamente Túnel-Palavras-palavras com mais de 249 caracteres
Se uma senha de túnel tiver mais de 249 caracteres, o serviço FreeRADIUS a truncará silenciosamente. Isto pode levar a incompatibilidades inesperadas de senhas com outros sistemas.
Para contornar o problema, escolha uma senha que tenha 249 caracteres ou menos.