38.3. ID 보기를 사용하여 IdM 클라이언트의 AD 사용자의 기본 신뢰 보기 속성 덮어쓰기

AD(Active Directory) 사용자에 대한 기본 신뢰 보기에서 일부 POSIX 속성을 재정의할 수 있습니다. 예를 들어 특정 IdM 클라이언트에 AD 사용자에게 다른 GID를 제공해야 할 수 있습니다. ID 보기를 사용하여 AD 사용자에 대한 기본 신뢰 보기의 값을 재정의하여 단일 호스트에 적용할 수 있습니다. 이 절차에서는 host1.idm.example.com IdM 클라이언트에 있는 ad_user@ad.example.com AD 사용자의 GID를 732001337으로 설정하는 방법을 설명합니다.

사전 요구 사항

  • host1.idm.example.com IdM 클라이언트에 대한 루트 액세스 권한이 있습니다.
  • 필요한 권한이 있는 사용자로 로그인했습니다(예: admin 사용자).

절차

  1. ID 보기를 생성합니다. 예를 들어 example_for_host1 이라는 ID 뷰를 생성하려면 다음을 수행합니다.

    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. example_for_host1 ID 보기에 사용자 재정의를 추가합니다. 사용자의 GID를 덮어쓰려면 다음을 수행합니다.

    • ipa idoverrideuser-add 명령을 입력합니다.
    • ID 보기의 이름 추가
    • 앵커라고도 하는 사용자 이름 추가
    • --gidnumber= 옵션을 추가합니다.
    $ ipa idoverrideuser-add example_for_host1 ad_user@ad.example.com --gidnumber=732001337
    -----------------------------
    Added User ID override "ad_user@ad.example.com"
    -----------------------------
      Anchor to override: ad_user@ad.example.com
      GID: 732001337
  3. example_for_host1host1.idm.example.com IdM 클라이언트에 적용합니다.

    $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    참고

    ipa idview-apply 명령은 --hostgroups 옵션도 허용합니다. 옵션은 지정된 호스트 그룹에 속하는 호스트에 ID 뷰를 적용하지만 ID 뷰를 호스트 그룹 자체와 연결하지 않습니다. 대신 --hostgroups 옵션은 지정된 호스트 그룹의 멤버를 확장하고 --hosts 옵션을 개별적으로 모든 그룹에 적용합니다.

    즉, 나중에 호스트를 호스트 그룹에 추가하면 ID 보기가 새 호스트에 적용되지 않습니다.

  4. host1.idm.example.com IdM 클라이언트의 SSSD 캐시에서 ad_user@ad.example.com 사용자의 항목을 지웁니다. 이렇게 하면 오래된 데이터가 제거되고 새로운 덮어쓰기 값을 적용할 수 있습니다.

    [root@host1 ~]# sssctl cache-expire -u ad_user@ad.example.com

검증 단계

  1. ad_user@ad.example.comhost1SSH 연결을 수행합니다.

    [root@r8server ~]# ssh ad_user@ad.example.com@host1.idm.example.com
  2. ad_user@ad.example.com 사용자의 정보를 검색하여 GID가 업데이트된 값을 반영하는지 확인합니다.

    [ad_user@ad.example.com@host1 ~]$ id ad_user@ad.example.com
    uid=702801456(ad_user@ad.example.com) gid=732001337(admins2)
    groups=732001337(admins2),702800513(domain users@ad.example.com)