13.2. 在 IdM 中启用安全标识符 (SID)

如果您在 RHEL 8.5 之前安装了 IdM，且您还没有配置 AD 域的信任，您可能没有为 IdM 对象生成安全标识符(SID)。这是因为之前，生成 SID 的唯一方法是运行 ipa-adtrust-install 命令将 Trust Controller 角色添加到 IdM 服务器。

从 RHEL 8.6 开始，IdM 中的 Kerberos 要求您的 IdM 对象具有 SID，这对基于 Privilege Access 证书 (PAC) 信息的安全性是必需的。

先决条件

在 RHEL 8.5 之前已安装了 IdM。
还没有运行 ipa-sidgen 任务，它是使用 Active Directory 域配置信任的一部分。
您可以作为 IdM admin 帐户进行身份验证。

流程

启用 SID 使用并触发 SIDgen 任务，以便为现有的用户和组生成 SID。此任务可能是资源密集型：
```
ipa config-mod --enable-sid --add-sids
```
```
[root@server ~]# ipa config-mod --enable-sid --add-sids
```
Copy to Clipboard Toggle word wrap

验证

验证 IdM admin 用户帐户条目是否具有 ipantsecurityidentifier 属性，其具有以 -500 结尾的 SID，为域管理员保留 SID：

ipa user-show admin --all | grep ipantsecurityidentifier

[root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier
  ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500

Copy to Clipboard

Toggle word wrap

返回顶部

13.2. 在 IdM 中启用安全标识符 (SID)

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links