13.2. 在 IdM 中启用安全标识符 (SID)
如果您在 RHEL 8.5 之前安装了 IdM,且您还没有配置 AD 域的信任,您可能没有为 IdM 对象生成安全标识符(SID)。这是因为之前,生成 SID 的唯一方法是运行 ipa-adtrust-install
命令将 Trust Controller 角色添加到 IdM 服务器。
从 RHEL 8.6 开始,IdM 中的 Kerberos 要求您的 IdM 对象具有 SID,这对基于 Privilege Access 证书 (PAC) 信息的安全性是必需的。
先决条件
- 在 RHEL 8.5 之前已安装了 IdM。
-
还没有运行
ipa-sidgen
任务,它是使用 Active Directory 域配置信任的一部分。 - 您可以作为 IdM admin 帐户进行身份验证。
流程
启用 SID 使用并触发
SIDgen
任务,以便为现有的用户和组生成 SID。此任务可能是资源密集型:[root@server ~]# ipa config-mod --enable-sid --add-sids
验证
验证 IdM
admin
用户帐户条目是否具有ipantsecurityidentifier
属性,其具有以-500
结尾的 SID,为域管理员保留 SID:[root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500