12.2. Activation des identificateurs de sécurité (SID) dans l'IdM
Si vous avez installé IdM avant RHEL 8.5 et que vous n'avez pas configuré de confiance avec un domaine AD, il se peut que vous n'ayez pas généré d'identifiants de sécurité (SID) pour vos objets IdM. En effet, auparavant, le seul moyen de générer des SID était d'exécuter la commande ipa-adtrust-install
pour ajouter le rôle Trust Controller à un serveur IdM.
À partir de RHEL 8.6, Kerberos dans IdM exige que vos objets IdM aient des SID, qui sont nécessaires pour la sécurité basée sur les informations du certificat d'accès aux privilèges (PAC).
Conditions préalables
- Vous avez installé IdM avant RHEL 8.5.
-
Vous n'avez pas exécuté la tâche
ipa-sidgen
, qui fait partie de la configuration d'une confiance avec un domaine Active Directory. - Vous pouvez vous authentifier en tant que compte administrateur IdM.
Procédure
Activez l'utilisation des SID et déclenchez la tâche
SIDgen
pour générer des SID pour les utilisateurs et les groupes existants. Cette tâche peut être gourmande en ressources :[root@server ~]# ipa config-mod --enable-sid --add-sids
Vérification
Vérifiez que l'entrée du compte utilisateur IdM
admin
a un attributipantsecurityidentifier
avec un SID qui se termine par-500
, le SID réservé à l'administrateur du domaine :[root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500