第 8 章 已知问题
本章记录了 Red Hat Enterprise Linux 7.7 中已知的问题。
8.1. 认证和互操作性
应用 ID 范围更改时的警告信息不一致
在 RHEL Identity Management (IdM)中,您可以定义与本地 IdM 域或可信 Active Directory 域关联的多个身份范围(ID 范围)。所有注册的系统上的 SSSD 守护进程会检索有关 ID 范围的信息。
对 ID 范围属性的更改需要重启 SSSD。在以前的版本中,不需要重启 SSSD 的警告。RHEL 7.7 添加一个警告,当 ID 范围属性被修改需要重启 SSSD 时会显示警告。
警告消息目前使用不一致的词语。警告信息的目的是在任何使用 ID 范围的 IdM 系统上要求重启 SSSD。要了解更多有关 ID 范围的信息,请参阅 https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/managing-unique_uid_and_gid_attributes
将默认值用于 ldap_id_use_start_tls 选项时的潜在风险
当在没有 TLS 进行身份查找的情况下使用 ldap:// 时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,攻击者可以通过更改用户来模拟用户,例如,在 LDAP 搜索中返回的对象的 UID 或 GID。
目前,用于强制 TLS ldap_id_use_start_tls 的 SSSD 配置选项,默认为 false。确保您的设置在可信环境中运行,并决定是否可以安全地对 id_provider = ldap 使用未加密的通信。注意 id_provider = ad 和 id_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果无法使用未加密的通信,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改默认行为。
(JIRA:RHELPLAN-155168)
