第 8 章 已知问题
本章记录了 Red Hat Enterprise Linux 7.9 中已知的问题。
8.1. 认证和互操作性
在使用最新容器镜像升级 ipa-server 后,Active Directory 信任无法正常工作
使用最新版本的容器镜像升级 IdM 服务器后,具有 Active Directory 域的现有信任将不再有效。要临时解决这个问题,请删除现有的信任并在升级后重新建立它。
当对 ldap_id_use_start_tls 选项使用默认值时的潜在风险
当使用没有 TLS 的 ldap:// 进行身份查找时,可能会导致攻击向量的风险。特别是中间人(MITM)攻击,其通过更改例如在 LDAP 搜索中返回的对象的 UID 或 GID 来冒充用户,。
目前,用于强制 TLS 的 ldap_id_use_start_tls SSSD 配置选项默认为 false。确保您的设置在可信环境中操作,并决定是否可以对 id_provider = ldap 安全地使用未加密的通信。注意 id_provider = ad 和 id_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果使用未加密通信不安全,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改的默认行为。
(JIRA:RHELPLAN-155168)
