10.12. Identity Management
如果所有 KRA 成员都是隐藏的副本,则安装 KRA 会失败
如果在隐藏的副本中安装第一个 KRA 实例,ipa-kra-install
程序会在有密钥恢复授权(KRA)的集群中失败。因此,您无法向集群添加更多 KRA 实例。
要临时解决这个问题,请在添加新的 KRA 实例前,清除具有 KRA 角色的隐藏副本。ipa-kra-install
成功完成后您可以再次隐藏它。
将 cert-fix
程序与 --agent-uid pkidbuser
选项一同使用会破坏证书系统
使用带有 --agent-uid pkidbuser
选项的 cert-fix
工具可破坏证书系统的 LDAP 配置。因此,,证系统可能会变得不稳定,需要手动步骤才能恢复该系统。
IdM 主机上的 /var/log/lastlog
稀疏文件可能会导致性能问题
在 IdM 安装过程中,从总计 10,000 个可能范围内会随机选择并分配一个 200,000 UID 范围。当您决定以后合并两个独立的 IdM 域时,以这种方法选择一个随机范围可显著降低冲突 ID 的可能性。
但是,具有高 UID 可能会造成 /var/log/lastlog
文件的问题。例如,如果 UID 为 1280000008 的用户登录到 IdM 客户端,本地 /var/log/lastlog
文件大小增加到近 400 GB。虽然实际文件是稀疏的,且没有使用所有空间,但某些应用程序默认不是为识别稀疏文件而设计的,且可能需要一个特定的选项来处理这些文件。例如,如果设置比较复杂,备份和复制应用程序无法正确处理稀疏文件,则该文件会像大小为 400 GB 一样被复制。这个行为可能会导致性能问题。
要临时解决这个问题:
- 如果是标准软件包,请参考其文档来识别处理稀疏文件的选项。
-
如果是自定义应用程序,请确保它能够正确管理稀疏文件,如
/var/log/lastlog
。
(JIRA:RHELPLAN-59111)
FreeRADIUS 会默默地截断大于 249 个字符的 Tunnel-Password
如果 Tunnel-Password 大于 249 个字符,则 FreeRADIUS 服务会默默地截断它。这可能导致无法预期的,与其它系统不兼容的密码。
要临时解决这个问题,请选择 249 个字符或更少的密码。
FIPS 模式不支持使用共享 secret 建立跨林信任
在 FIPS 模式中使用共享 secret 建立跨林信任会失败,因为 NTLMSSP 身份验证不兼容 FIPS。要临时解决这个问题,在启用了 FIPS 模式的 IdM 域和 AD 域间建立信任时,使用 Active Directory(AD)管理帐户进行身份验证。
在 rebase 到版本 1.2.2 后,降级authselect
会破坏系统身份验证
authselect
软件包已 rebase 到最新的上游版本 1.2.2
。不支持降级 authselect
,这会中断所有用户的系统身份验证,包括root
用户。
如果您将authselect
软件包降级到 1.2.1
或更早版本,请执行以下步骤来解决这个问题:
-
在 GRUB 引导屏幕中,选择带有您要引导的内核版本的
Red Hat Enterprise Linux
,然后按e
编辑该条目。 -
在以
linux
开头的行尾输入single
,然后按Ctrl+x
来启动引动过程。 - 以单用户模式引导时,输入 root 密码。
使用以下命令恢复 authselect 配置:
# authselect select sssd --force
如果 pki-ca 软件包版本早于 10.10.5,则将 IdM 服务器从 RHEL 8.3 升级到 RHEL 8.4 会失败
如果 pki-ca
软件包版本早于 10.10.5,IdM 服务器升级程序ipa-server-upgrade
会失败。由于这些版本中所需的文件不存在,因此在包安装以及执行ipa-server-upgrade
或 ipactl
时,IdM 服务器升级无法成功完成。
要解决这个问题,将 pki-*
软件包升级到 10.10.5 或更高版本,然后再次运行 ipa-server-upgrade
命令。
(BZ#1957768)
将对 ldap_id_use_start_tls
选项使用默认值时有潜在的风险
当使用没有 TLS 的 ldap://
进行身份查找时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,其允许攻击者通过更改例如 LDAP 搜索中返回的对象的 UID 或 GID,来冒充用户。
目前,用于强制 TLS ldap_id_use_start_tls
的 SSSD 配置选项默认为 false
。确保您的设置在可信环境中操作,并决定对 id_provider = ldap
使用未加密的通信是否安全。注意 id_provider = ad
和 id_provider = ipa
不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果使用未加密的通信不安全,请在 /etc/sssd/sssd.conf
文件中将 ldap_id_use_start_tls
选项设置为 true
来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。
(JIRA:RHELPLAN-155168)