Red Hat Training

A Red Hat training course is available for RHEL 8

48.2. 在 IdM 中启用安全标识符(SID)

如果您在 RHEL 8.5 前安装 IdM,且还没有为 AD 域配置信任,您可能没有为 IdM 对象生成 Security Identifier(SID)。这是因为,在生成 SID 前,生成 SID 的唯一方法是运行 ipa-adtrust-install 命令,将 Trust Controller 角色添加到 IdM 服务器。

从 RHEL 8.6 开始,IdM 中的 Kerberos 要求您的 IdM 对象具有 SID,这是根据权限访问证书(PAC)信息的安全性所必需的。

先决条件

  • 您在 RHEL 8.5 前安装 IdM。
  • 您已运行 ipa-sidgen 任务,它是使用 Active Directory 域配置信任的一部分。
  • 您可以作为 IdM admin 帐户进行身份验证。

流程

  • 启用 SID 使用并触发 SIDgen 任务,以便为现有用户和组生成 SID。此任务可能是资源密集型:

    [root@server ~]# ipa config-mod --enable-sid --add-sids

验证

  • 验证 IdM admin 用户帐户条目是否具有 ipantsecurityidentifier 属性,其中 SID 以 -500 结尾,为域管理员保留的 SID:

    [root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier
      ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500