搜索

第 50 章 使用 PAC 信息加强 Kerberos 安全性

download PDF

从 RHEL 8.5 开始,您可以使用默认带有特权属性证书(PAC)信息的身份管理(IdM)。另外,您可以在 RHEL 8.5 之前安装的 IdM 部署中启用安全标识符(SID)。

50.1. IdM 中使用的权限属性证书(PAC)

为提高安全性,RHEL Identity Management(IdM)现在在新部署中默认使用 Privilege Attribute 证书(PAC)信息发出 Kerberos 票据。PAC 包含有关 Kerberos 主体的丰富信息,包括其安全标识符(SID)、组成员资格和主目录信息。

默认使用 Microsoft Active Directory(AD)的 SID 是不会重复使用的全局唯一标识符。SIDs express 多个命名空间:每个域都有一个 SID,它是每个对象的 SID 的一个前缀。

从 RHEL 8.5 开始,当安装 IdM 服务器或副本时,安装脚本默认为用户和组群生成 SID。这允许 IdM 使用 PAC 数据。如果您在 RHEL 8.5 前安装 IdM,且您还没有为 AD 域配置信任,您可能没有为 IdM 对象生成 SID。有关为您的 IdM 对象生成 SID 的更多信息,请参阅 IdM 中启用安全标识符(SID)。

通过评估 Kerberos 票据中的 PAC 信息,您可以使用更详细的信息控制资源访问。例如,一个域中的 Administrator 帐户与任何其他域中的 Administrator 帐户唯一不同的 SID。在信任到 AD 域的 IdM 环境中,您可以根据全局唯一 SID 而不是可能在不同位置重复的简单用户名或 UID 来设置访问控制,如 UID 为 0 的每个 Linux root 帐户。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.