Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 13 章 管理用户和组

13.1. IdM 中的用户和组如何工作

13.1.1. 用户和组是什么

用户组是一组具有常见特权、密码策略和其他特征的用户。
主机组是一组具有常见访问控制规则和其他特征的 IdM 主机。
例如,您可以定义公司部门、物理位置或访问控制需求的组。

13.1.2. 支持的组成员

IdM 中的用户组可以包括:
  • IdM 用户
  • 其他 IdM 用户组
  • 外部用户,它们是 IdM 外部存在的用户
IdM 中的主机组可以包括:
  • IdM 服务器和客户端
  • 其他 IdM 主机组

13.1.3. 直接和间接组成员

IdM 中的用户和组属性同时应用到直接成员和间接成员:当组 B 是组 A 的成员时,组 B 中的所有用户都将被视为组 A 的成员。
例如,在 图 13.1 “直接和间接组成员身份” 中:
  • 用户 1 和用户 2 是组 A 的直接成员
  • 用户 3、用户 4 和用户 5 是组 A 的间接成员

图 13.1. 直接和间接组成员身份

直接和间接组成员身份
如果您为用户组 A 设置密码策略,该策略也会应用到用户组 B 中的所有用户。

例 13.1. 查看直接组成员和间接组成员

  1. 创建两个组: group_Agroup_B。请参阅 第 13.2 节 “添加和删除用户或主机组”
  2. 添加:
    • 一个用户作为 group_A的成员
    • 另一个用户作为 group_B的成员
    • group_ b 作为 group_A的成员
    请参阅 第 13.3 节 “添加和删除用户或主机组成员”
  3. 在 Web UI 中:选择 IdentityGroups。在左侧的侧边栏中列出的单独组类型,选择 User Groups,然后单击 group_A 的名称。在 Direct MembershipIndirect Membership 之间切换。

    图 13.2. 间接和直接成员

    间接和直接成员
  4. 在命令行中:使用 ipa group-show 命令: 
    $ ipa group-show group_A
  ...
  Member users: user_1
  Member groups: group_B
  Indirect Member users: user_2
间接成员列表不包括来自可信活动目录域的外部用户。Active Directory 信任用户对象在 IdM 界面中不可见,因为它们不作为 IdM 中的 LDAP 对象存在。

13.1.4. IdM 中的用户组类型

POSIX 组(默认)
POSIX 组支持其成员的 POSIX 属性。请注意,与 Active Directory 交互的组无法使用 POSIX 属性。
非 POSIX 组
这种类型的组的所有组成员都必须属于 IdM 域。
外部组
外部组允许添加存在于 IdM 域外的身份存储中的组成员。外部存储可以是本地系统、Active Directory 域或目录服务。
非 POSIX 和外部组不支持 POSIX 属性。例如,这些组没有定义 GID。

例 13.2. 搜索不同的用户组群类型

  1. 运行 ipa group-find 命令来显示所有用户组。
  2. 运行 ipa group-find --posix 命令来显示所有 POSIX 组。
  3. 运行 ipa group-find --nonposix 命令来显示所有非 POSIX 组。
  4. 运行 ipa group-find --external 命令来显示所有外部组。

13.1.5. 默认创建的用户和组

表 13.1. 默认创建的用户和组

组名称 用户或主机 默认组成员
ipausers 用户组 所有 IdM 用户
admins 用户组 具有管理特权的用户,最初是默认的 admin 用户
editors 用户组 用户允许在 Web UI 中编辑其他 IdM 用户,而无需管理员用户的所有权限
trust admins 用户组 具有管理 Active Directory 信任的特权用户
ipaservers 主机组 所有 IdM 服务器主机
将用户添加到用户组应用与组关联的特权和策略。例如,将用户添加到 admins 组会授予用户管理特权。
警告
不要删除 admins 组。由于 admins 是 IdM 要求的预定义组,因此此操作会导致某些命令出现问题。
警告
将主机添加到 ipaservers 主机组时要小心。ipaservers 中的所有主机都能够将其自身提升到 IdM 服务器。
另外,当在 IdM 中创建新用户时,IdM 默认会创建用户私有组
  • 用户专用组的名称与为其创建的用户的名称相同。
  • 用户是用户专用组的唯一成员。
  • 专用组的 GID 与用户的 UID 相匹配。

例 13.3. 查看用户专用组

运行 ipa group-find --private 命令来显示所有用户私有组: 
$ ipa group-find --private
----------------
2 groups matched
----------------
  Group name: user1
  Description: User private group for user1
  GID: 830400006

  Group name: user2
  Description: User private group for user2
  GID: 830400004
----------------------------
Number of entries returned 2
----------------------------
在某些情况下,最好避免创建用户专用组,例如 NIS 组或其他系统组已使用分配给用户专用组的 GID。请参阅 第 13.4 节 “禁用用户专用组”