Chapitre 12. Renforcer la sécurité de Kerberos avec les informations du PAC

Pour renforcer la sécurité, RHEL Identity Management (IdM) émet désormais des tickets Kerberos avec des informations de certificat d'attribut de privilège (PAC) par défaut dans les nouveaux déploiements. Un PAC contient de nombreuses informations sur un principal Kerberos, notamment son identifiant de sécurité (SID), l'appartenance à un groupe et des informations sur le répertoire personnel.

Les SID, que Microsoft Active Directory (AD) utilise par défaut, sont des identifiants uniques au niveau mondial qui ne sont jamais réutilisés. Les SID expriment plusieurs espaces de noms : chaque domaine a un SID, qui est un préfixe dans le SID de chaque objet.

À partir de RHEL 8.5, lorsque vous installez un serveur IdM ou un réplica, le script d'installation génère par défaut des SID pour les utilisateurs et les groupes. Cela permet à IdM de travailler avec des données PAC. Si vous avez installé IdM avant RHEL 8.5 et que vous n'avez pas configuré de confiance avec un domaine AD, il se peut que vous n'ayez pas généré de SID pour vos objets IdM. Pour plus d'informations sur la génération de SID pour vos objets IdM, voir Activation des identifiants de sécurité (SID) dans IdM.

En évaluant les informations PAC dans les tickets Kerberos, vous pouvez contrôler l'accès aux ressources de manière beaucoup plus détaillée. Par exemple, le compte Administrateur d'un domaine a un SID différent de celui du compte Administrateur d'un autre domaine. Dans un environnement IdM avec une confiance dans un domaine AD, vous pouvez définir des contrôles d'accès basés sur des SID uniques au niveau mondial plutôt que sur de simples noms d'utilisateur ou UID qui peuvent se répéter à différents endroits, comme par exemple chaque compte Linux root ayant un UID de 0.