Red Hat Training
A Red Hat training course is available for RHEL 8
48.2. 在 IdM 中启用安全标识符(SID)
如果您在 RHEL 8.5 前安装 IdM,且还没有为 AD 域配置信任,您可能没有为 IdM 对象生成 Security Identifier(SID)。这是因为,在生成 SID 前,生成 SID 的唯一方法是运行 ipa-adtrust-install
命令,将 Trust Controller 角色添加到 IdM 服务器。
从 RHEL 8.6 开始,IdM 中的 Kerberos 要求您的 IdM 对象具有 SID,这是根据权限访问证书(PAC)信息的安全性所必需的。
先决条件
- 您在 RHEL 8.5 前安装 IdM。
-
您已运行
ipa-sidgen
任务,它是使用 Active Directory 域配置信任的一部分。 - 您可以作为 IdM admin 帐户进行身份验证。
流程
启用 SID 使用并触发
SIDgen
任务,以便为现有用户和组生成 SID。此任务可能是资源密集型:[root@server ~]# ipa config-mod --enable-sid --add-sids
验证
验证 IdM
admin
用户帐户条目是否具有ipantsecurityidentifier
属性,其中 SID 以-500
结尾,为域管理员保留的 SID:[root@server ~]# ipa user-show admin --all | grep ipantsecurityidentifier ipantsecurityidentifier: S-1-5-21-2633809701-976279387-419745629-500