10.13. Identity Management
Windows Server 2008 R2 及更早版本不再被支持
在 RHEL 8.4 及之后的版本中,身份管理(IdM)不支持对带有运行 Windows Server 2008 R2 或更早版本的活动目录域的活动目录建立信任。RHEL IdM 现在在建立信任关系时需要 SMB 加密,这只在 Windows Server 2012 或更高版本中提供。
将 cert-fix 程序与 --agent-uid pkidbuser 选项一同使用会破坏证书系统
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具可破坏证书系统的 LDAP 配置。因此,,证系统可能会变得不稳定,需要手动步骤才能恢复该系统。
FreeRADIUS 会默默地截断大于 249 个字符的 Tunnel-Password
如果 Tunnel-Password 大于 249 个字符,则 FreeRADIUS 服务会默默地截断它。这可能导致无法预期的,与其它系统不兼容的密码。
要临时解决这个问题,请选择 249 个字符或更少的密码。
IdM 主机上的 /var/log/lastlog 稀疏文件可能会导致性能问题
在 IdM 安装过程中,从总计 10,000 个可能范围内会随机选择并分配一个 200,000 UID 范围。当您决定以后合并两个独立的 IdM 域时,以这种方法选择一个随机范围可显著降低冲突 ID 的可能性。
但是,大的UID可能会给 /var/log/lastlog 文件带来问题。例如,如果 UID 为 1280000008 的用户登录到 IdM 客户端,则本地的 /var/log/lastlog 文件大小会增加到近 400 GB。虽然实际文件是稀疏的,且没有使用所有空间,但某些应用程序默认不是为识别稀疏文件而设计的,且可能需要一个特定的选项来处理这些文件。例如,如果设置比较复杂,备份和复制应用程序无法正确处理稀疏文件,则该文件会像大小为 400 GB 一样被复制。这个行为可能会导致性能问题。
要临时解决这个问题:
- 如果是标准软件包,请参考其文档来识别处理稀疏文件的选项。
-
如果是自定义应用程序,请确保它能够正确管理稀疏文件,如
/var/log/lastlog。
(JIRA:RHELPLAN-59111)
FIPS 模式不支持使用共享 secret 建立跨林信任
在 FIPS 模式中使用共享 secret 建立跨林信任会失败,因为 NTLMSSP 身份验证不兼容 FIPS。要临时解决这个问题,在启用了 FIPS 模式的 IdM 域和 AD 域间建立信任时,使用 Active Directory(AD)管理帐户进行身份验证。
FreeRADIUS 服务器无法在 FIPS 模式下运行
默认情况下,在 FIPS 模式下,OpenSSL 禁止使用 MD5 摘要算法。由于 RADIUS 协议需要 MD5 来在 RADIUS 客户端和 RADIUS 服务器之间加密 secret,因此这会导致 FreeRADIUS 服务器在 FIPS 模式下失败。
要临时解决这个问题,请遵循以下步骤:
流程
为
radiusd服务创建环境变量RADIUS_MD5_FIPS_OVERRIDE:systemctl edit radiusd [Service] Environment=RADIUS_MD5_FIPS_OVERRIDE=1
要应用这些更改,请重新加载
systemd配置,并启动radiusd服务:# systemctl daemon-reload # systemctl start radiusd
要在调试模式下运行 FreeRADIUS:
# RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X
请注意,虽然 FreeRADIUS 可以在 FIPS 模式下运行,但这并不意味着它符合 FIPS ,因为它在 FIPS 模式下使用弱密码和功能。
有关在 FIPS 模式下配置 FreeRADIUS 身份验证的更多信息,请参阅 在 FIPS 模式下如何配置 FreeRADIUS 身份验证。
将 Samba 作为打印服务器运行时需要的操作
有了这个更新,samba 软件包不再创建 /var/spool/samba/ 目录。如果您将 Samba 用作打印服务器,并将 [printers] 共享中的 /var/spool/samba/ 用于假脱机打印作业,则SELinux 会阻止 Samba 用户在此目录中创建文件。因此,打印作业失败,auditd 服务会在 /var/log/audit/audit.log 中记录一跳 denied 消息。要在将您的系统更新至 RHEL 8.5 后避免这个问题:
-
在
/etc/samba/smb.conf文件中搜索[printers]共享。 -
如果共享定义包含
path = /var/spool/samba/,请更新设置,并将path参数设为/var/tmp/。 重启
smbd服务:# systemctl restart smbd
如果您在 RHEL 8.5 上新安装的 Samba,则不需要任何操作。RHEL 8.5 上的 samba-common 软件包提供的默认 /etc/samba/smb.conf 文件已经使用 /var/tmp/ 目录来假脱机打印作业。
(BZ#2009213)
NSS 中启用的密码的 default 关键字无法与其他密码一起使用
在目录服务器中,您可以使用 default 关键字来指向网络安全服务(NSS)中启用的默认密码。但是,如果您要使用命令行或 Web 控制台来启用默认的密码和附加密码,目录服务器将无法解析 default 关键字。因此,服务器只启用额外指定的密码,并记录以下错误:
Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)
作为临时解决方案,指定 NSS 中默认启用的所有密码,包括您要额外启用的密码。
将对 ldap_id_use_start_tls 选项使用默认值时潜在的风险
当不使用 TLS 进行身份查找的情况下使用 ldap:// 时,可能会对攻击向量构成风险。特别是中间人(MITM)攻击,例如,其通过更改 LDAP 搜索中返回的对象的 UID 或 GID 来允许攻击者冒充用户。
目前,用于强制 TLS 的 ldap_id_use_start_tls SSSD 配置选项,默认为 false。确保您的设置可在可信环境中操作,并决定是否可以安全地对 id_provider = ldap 使用未加密的通信。注意 id_provider = ad 和 id_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果使用未加密的通信是不安全的,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。
(JIRA:RHELPLAN-155168)
