6.4. Grupos externos não-POSIX e Mapeamento SID

A Gestão de Identidade (IdM) utiliza o LDAP para a gestão de grupos. As entradas do Active Directory (AD) não são sincronizadas ou copiadas para o IdM, o que significa que os usuários e grupos do AD não possuem objetos LDAP no servidor LDAP, de modo que não podem ser usados diretamente para expressar a adesão de grupos ao IdM LDAP. Por esta razão, os administradores no IdM precisam criar grupos externos não-POSIX, referenciados como objetos LDAP normais do IdM para significar associação em grupo para usuários AD e grupos no IdM.

Os IDs de segurança (SIDs) para grupos externos não-POSIX são processados pelo SSSD, que mapeia os SIDs de grupos no Active Directory para grupos POSIX no IdM. No Active Directory, os SIDs são associados a nomes de usuários. Quando um nome de usuário AD é usado para acessar recursos do IdM, o SSSD usa o SID do usuário para construir uma informação completa de membros do grupo para o usuário no domínio do IdM.