Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5.2. 更改同步用户帐户属性的行为

创建同步协议时,它定义了同步进程在同步期间如何处理用户帐户属性的某些默认行为。这些类型的行为如如何处理锁定属性或如何处理不同的 DN 格式。可以通过编辑同步协议来更改此行为。
同步协议作为特殊的插件条目存在于 LDAP 服务器中,每一属性行为通过 LDAP 属性来设置。要更改同步行为,请使用 ldapmodify 命令直接修改 LDAP 服务器条目。
例如,帐户锁定属性在 IdM 和 ActiveActive Directorynbsp 之间同步。默认情况下,可以使用 ipaWinSyncAcctDisable 属性来禁用它。(更改意味着,如果在 ActiveActive Directorynbsp 中禁用了帐户,它仍然在 IdM 中活跃,反之亦然。) 
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password

dn: cn=ipa-winsync,cn=plugins,cn=config
changetype: modify
replace: ipaWinSyncAcctDisable
ipaWinSyncAcctDisable: none

modifying entry "cn=ipa-winsync,cn=plugins,cn=config"
以下是同步设置属性的概述:

常规用户帐户参数

  • ipaWinSyncNewEntryFilter :设置搜索过滤器以查找包含要添加到新用户条目的对象类列表的条目。
    默认值为: (cn=ipaConfig)
  • ipaWinSyncNewUserOCAttr :在配置条目中设置 属性,该条目实际上包含要添加到新用户条目的对象类列表。
    默认值: ipauserobjectclasses
  • ipaWinSyncHomeDirAttr :识别条目中的哪个属性包含 POSIX 主目录的默认位置。
    默认值: ipaHomesRootDir
  • ipaWinSyncUserAttr: 当它们从 ActiveActive Directorynbsp;Directory 域同步时,设置一个带有特定值的额外属性来添加到 ActiveActive Directorynbsp;Directory 域时。如果 属性为 multi-valued,则它可以设置多次,同步进程会将所有值添加到条目。
    示例: ipaWinSyncUserAttr: attributeName attributeValue
    注意
    仅当条目尚未存在该属性时,这才会设置 属性值。如果存在 属性,则条目的值会在 ActiveActive Directorynbsp;Directory 条目被同步时使用。
  • ipaWinSyncForceSync :设置匹配现有 AD 用户的现有 IdM 用户是否强制同步。当设置为 true 时,此类 IdM 用户会自动编辑,以便同步它们。
    可能的值: true | false
    如果一个 IdMnbsp;IdM 用户帐户有一个 uid 参数,它与现有 ActiveActive Directorynbsp;Directory 用户相同,则该帐户 默认不会 同步。sAMAccountName此属性告知同步服务自动将 ntUserntUserDomainId 添加到 IdM 用户条目中,这允许它们同步。

用户帐户锁定参数

  • ipaWinSyncAcctDisable :设置同步帐户锁定属性的方式。可以控制哪些帐户锁定设置生效。例如,to_ad 表示当在 IdM 中设置帐户锁定属性时,其值会同步到 ActiveActive Directorynbsp;Directory 并覆盖本地 ActiveActive Directorynbsp;Directory 值。默认情况下,帐户锁定属性从两个域同步。
    可能的值:(默认 )、to_ad、to_ds、none
  • ipaWinSyncInactivatedFilter :设置搜索过滤器以查找用于存放已激活(禁用)用户的组的 DN。在大多数部署中不需要更改此设置。
    默认值为: (&(cn=inactivated)(objectclass=groupOfNames))

组参数

  • ipaWinSyncDefaultGroupAttr :在新用户帐户中设置 属性,以引用该用户的默认组。然后,条目中的组名将用于查找用户帐户的 gidNumber
    默认值: ipaDefaultPrimaryGroup
  • ipaWinSyncDefaultGroupFilter :设置新用户帐户中的 属性,以引用该用户的默认组。然后,条目中的组名将用于查找用户帐户的 gidNumber
    默认值: ipaDefaultPrimaryGroup

域参数

  • ipaWinSyncRealmAttr :设置 realm 条目中包含 realm 名称的属性。
    默认值: cn
  • ipaWinSyncRealmFilter :设置搜索过滤器以查找包含 IdM 域名称的条目。
    默认值为:(objectclass=krbRealmContainer)