RHEL-8.9 IdM の更新: Web UI および CLI の 401 Unauthorized エラーと KDC の S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC - ユーザーおよびグループオブジェクトに SID が必要

Issue

RHEL-8.9 に更新し、IPA パッケージを 4.9.12-9 から 4.9.12-11 以降に (正常に) 更新したところ、Kerberos kinit は正常に動作するものの、ipa コマンドラインや Web UI のアクセスがすべて拒否され、HTTP エラー 401 が発生するようになりました。

/var/log/httpd/error_log
...ipa: INFO: 401 Unauthorized: Insufficient access: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credential cache is empty)

ipa user-show コマンドが失敗し、401 Unauthorized エラーで終了すると、次のようになります。

# ipa -d user-show
...
File "/usr/lib/python3.6/site-packages/ipalib/rpc.py", line 730, in single_request response.msg)
xmlrpc.client.ProtocolError: ... 401 Unauthorized>

RHEL IdM KDC ログには、次の例のようなトレースが表示されていました。

/var/log/krb5kdc.log
...(info): TGS_REQ ...: S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC: ..., KDC policy rejects request