第 49 章 使用 PAC 信息加强 Kerberos 安全性

为提高安全性，RHEL Identity Management(IdM)现在在新部署中默认使用 Privilege Attribute 证书(PAC)信息发出 Kerberos 票据。PAC 包含有关 Kerberos 主体的丰富信息，包括其安全标识符(SID)、组成员资格和主目录信息。

默认使用 Microsoft Active Directory(AD)的 SID 是不会重复使用的全局唯一标识符。SIDs express 多个命名空间：每个域都有一个 SID，它是每个对象的 SID 的一个前缀。

从 RHEL 8.5 开始，当安装 IdM 服务器或副本时，安装脚本默认为用户和组群生成 SID。这允许 IdM 使用 PAC 数据。如果您在 RHEL 8.5 前安装 IdM，且您还没有为 AD 域配置信任，您可能没有为 IdM 对象生成 SID。有关为您的 IdM 对象生成 SID 的更多信息，请参阅 IdM 中启用安全标识符(SID)。

通过评估 Kerberos 票据中的 PAC 信息，您可以使用更详细的信息控制资源访问。例如，一个域中的 Administrator 帐户与任何其他域中的 Administrator 帐户唯一不同的 SID。在信任到 AD 域的 IdM 环境中，您可以根据全局唯一 SID 而不是可能在不同位置重复的简单用户名或 UID 来设置访问控制，如 UID 为 0 的每个 Linux root 帐户。