红帽全球峰会10.10. 身份管理
FIPS 模式下的 IdM 不支持使用 NTLMSSP 协议来建立双向跨林信任
在活动目录(AD)和启用了 FIPS 模式的身份管理(IdM)之间建立双向跨林信任会失败,因为新技术局域网管理器安全支持提供程序 (NTLMSSP)身份验证不符合 FIPS。FIPS 模式下的 IdM 不接受在尝试验证时 AD 域控制器所使用的 RC4 NTLM 哈希。
Jira:RHEL-12154[1]
由于 EMS 强制,在 FIPS 模式下安装带有 RHEL 10 IdM 服务器的 RHEL 7 IdM 客户端会失败
TLS Extended Master Secret (EMS)扩展(RFC 7627)现在对启用了 FIPS 的 RHEL 10 系统上的 TLS 1.2 连接是强制的。这符合 FIPS-140-3 要求。但是,RHEL 7.9 及较低版本中提供的 openssl 版本不支持 EMS。因此,安装在 RHEL 10 上运行的启用了 FIPS 的 IdM 服务器的 RHEL 7 身份管理(IdM)客户端会失败。
临时解决方案:在其上安装 IdM 客户端之前,将主机升级到 RHEL 8 或更高版本。
Jira:RHELDOCS-19015[1]
DNSSEC 在 RHEL IdM 中无法正常工作
DNS 安全扩展(DNSSEC)在 RHEL 10.0 中的身份管理(IdM)中无法正常工作,因为使用 pkcs11-provider OpenSSL 提供者替换 openssl-pkcs11 OpenSSL 引擎时出现了多个未解决的问题。
OpenSSL 引入的更改会影响 RHEL IdM 中集成的 DNS 功能。具体来说,更改会影响 IdM 中的多个组件,包括 ipa、bind、bind-dyndb-ldap、softhsm 和 python-cryptography,以及这些组件如何与安全模块进行交互。
通过 SSSD 运行的 adcli 自动续订主机 keytab 失败
在直接 SSSD-AD 集成中,SSSD 每天检查机器帐户密码是否超过配置的天数,如果需要,尝试更新它。配置的期限由 ad_maximum_machine_account_password_age 值设置,默认为 30 天。0 值禁用续订尝试。
但是,目前存在问题,机器帐户密码的自动续订失败。如果密码过期,这可能会导致主机丢失对 AD 域的访问。
临时解决方案:手动或者通过其他方法更新密码。不要依赖 SSSD 自动续订。
Jira:RHELDOCS-19172[1]
dsctl healthcheck 可以报告错误的数据库类型
如果您使用 Lightning Memory-Mapped Database Manager (LMDB)数据库类型创建了一个实例,运行 dsctl healthcheck 命令可能会导致以下错误消息之一,因为目录服务器会检查一个错误的配置参数:
-
DSBLE0005.后端配置属性不匹配。 -
DSBLE0006.BDB 仍被用作后端。
临时解决方案:在运行 dsctl healthcheck 之前,将 NSSLAPD_DB_LIB 环境变量设为 mdb。
Jira:RHELDOCS-19014[1]
从 BDB 迁移到 LMDB 的过程中显示一条错误消息
当您运行 dsctl dblib bdb2mdb 命令从 Berkeley Database (BDB)迁移到 Lightning Memory-Mapped Database Manager (LMDB),且没有启用复制时,输出中会显示以下错误消息:
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
请注意,您可以忽略错误消息。发生错误的原因是目录服务器尝试查找 replication_changelog.db 文件,该文件在禁用复制时不是必需的。此错误不会阻止从 BDB 迁移到 LMDB。
当前没有解决此问题的方法。
Jira:RHELDOCS-19016[1]
ldapmodify 不会从 cn=config 中的任何属性中删除单个特定值
目前,当您尝试从 cn=config 中的任何属性中删除值时,该值将保留在属性中,服务器可能需要重启来完全删除它。
临时解决方案:通过执行一个不指定任何值的修改操作来删除整个属性,包括其所有值。然后重新添加您需要的值。另外,使用以下 dsconf 命令删除特定的值,而无需服务器重启:
dsconf <instance_name> config delete <attribute_name>=<undesired_value>
# dsconf <instance_name> config delete <attribute_name>=<undesired_value>
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}