第 14 章 使用 PAC 信息增强 Kerberos 安全性


从 RHEL 8.5 开始,您默认可以使用带有 Privilege Attribute 证书(PAC)信息的身份管理(IdM)。另外,您可以在 RHEL 8.5 之前安装的 IdM 部署中启用安全标识符 (SID)。

14.1. IdM 中使用特权属性证书 (PAC)

为提高安全性,RHEL Identity Management (IdM) 现在在新部署中默认发出带有 Privilege Attribute 证书 (PAC) 信息的 Kerberos 票据。PAC 包含有关 Kerberos 主体的丰富信息,包括其安全标识符 (SID)、组成员资格和主目录信息。

默认情况下,Microsoft Active Directory (AD)使用的 SID 是从不重复使用的全局唯一标识符。SID 表达多个命名空间:每个域都有一个 SID,它是每个对象的 SID 中的前缀。

从 RHEL 8.5 开始,当安装 IdM 服务器或副本时,安装脚本默认为用户和组生成 SID。这允许 IdM 使用 PAC 数据。如果您在 RHEL 8.5 之前安装了 IdM,且您尚未配置 AD 域的信任,您可能没有为 IdM 对象生成 SID。有关为您的 IdM 对象生成 SID 的更多信息,请参阅 IdM 中启用安全标识符 (SID)

通过在 Kerberos 票据中评估 PAC 信息,您可以使用更详细的信息来控制资源访问。例如,一个域中的 Administrator 帐户的 SID 与任何其他域中的 Administrator 帐户不同。在对 AD 域的带有信任的 IdM 环境中,您可以根据全局唯一的 SID 设置访问控制,而不是在不同位置中重复的简单用户名或 UID,如每个 Linux root 帐户都有 UID 0。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.