50.2. IdM でのセキュリティー識別子 (SID) の有効化
RHEL 8.5 より前に IdM をインストールし、AD ドメインとの信頼を設定していない場合は、IdM オブジェクトのセキュリティー識別子 (SID) が生成されていない可能性があります。これは、以前は SID を生成する場合、ipa-adtrust-install コマンドを実行して 信頼コントローラー ロールを IdM サーバーに追加することが唯一の方法だったためです。
RHEL 8.6 以降、IdM の Kerberos では、IdM オブジェクトに SID が必要です。これは、特権属性証明書 (PAC) 情報に基づくセキュリティーに必要です。
前提条件
- RHEL 8.5 より前に IdM をインストールしている。
-
Active Directory ドメインとの信頼の設定の一部である
ipa-sidgenタスクを実行していない。 - IdM 管理者アカウントとして認証可能である。
手順
SID の使用を有効にし、
SIDgenタスクをトリガーして、既存のユーザーとグループの SID を生成します。このタスクはリソースを大量に消費する可能性があります。[root@server ~]# ipa config-mod --enable-sid --add-sids
検証
IdM
adminユーザーアカウントエントリーに、-500で終わる SID (ドメイン管理者用に予約されている SID) のあるipantsecurityidentifier属性があることを確認します。[root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500
