13장. PAC 정보를 사용하여 Kerberos 보안 강화

보안을 강화하기 위해 IdM(Identity Management)은 기본적으로 PAC(Privilege Attribute Certificate) 정보로 Kerberos 티켓을 발행합니다. PAC에는 SID(Security Identifier), 그룹 멤버십 및 홈 디렉터리 정보를 포함하여 Kerberos 주체에 대한 풍부한 정보가 있습니다.

기본적으로 Microsoft AD(Active Directory)가 사용하는 SIDS는 재사용되지 않는 전역적으로 고유한 식별자입니다. SIDS express multiple namespaces: 각 도메인에는 각 개체의 SID에 접두사인 SID가 있습니다. SIDS express multiple namespaces: each domain has a SID, which is a prefix in the SID of each object.

RHEL 8.5부터 IdM 서버 또는 복제본을 설치할 때 설치 스크립트는 기본적으로 사용자 및 그룹에 대한 SID를 생성합니다. 이를 통해 IdM은 PAC 데이터를 사용할 수 있습니다. RHEL 8.5 전에 IdM을 설치하고 AD 도메인에 대한 신뢰를 구성하지 않은 경우 IdM 오브젝트에 대해 SID가 생성되지 않을 수 있습니다. IdM 오브젝트의 SID 생성에 대한 자세한 내용은 IdM에서 SID(보안 식별자) 활성화를 참조하십시오.

Kerberos 티켓에서 PAC 정보를 평가하면 훨씬 더 상세하게 리소스 액세스를 제어할 수 있습니다. 예를 들어 한 도메인의 관리자 계정은 다른 도메인의 Administrator 계정과 고유하게 다른 SID를 갖습니다.For example, the Administrator account in one domain has a uniquely different SID than the Administrator account in any other domain. AD 도메인에 대한 신뢰가 있는 IdM 환경에서는 UID가 0인 모든 Linux root 계정과 같이 다른 위치에서 반복할 수 있는 간단한 사용자 이름 또는 UID가 아닌 전역적으로 고유한 SID를 기반으로 액세스 제어를 설정할 수 있습니다.