Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 15 章 用户和组架构

创建用户条目时,会自动为其分配特定的 LDAP 对象类,这些类反过来会提供某些属性。LDAP 属性是信息存储在 目录中的方式。(在 Directory Server 部署指南和目录服务器架构 参考 中详细讨论。)

表 15.1. 默认身份管理用户对象类

对象类 描述
ipaobject
ipasshuser
IdM 对象类
OrganizationPerson
inetorgperson
inetuser
posixAccount
人员对象类
krbprincipalaux
krbticketpolicyaux
Kerberos 对象类
mepOriginEntry 受管条目(template)对象类
用户条目可以使用多个属性:有些是手动设置的,如果未设置特定值,则根据默认值设置。还有一个选项,可以添加 表 15.1 “默认身份管理用户对象类” 中的对象类中可用属性,即使该属性没有 UI 或命令行参数。另外,也可以配置默认属性生成的或使用的值,如 第 15.4 节 “指定默认用户和组属性” 所示。

表 15.2. 默认身份管理用户属性

UI 字段 命令行选项 必需、可选或默认[a]
用户登录 username 必需
--first 必需
--last 必需
全名 --cn 选填
显示名称 --displayname 选填
初始 --initials Default(默认)
主目录 --homedir Default(默认)
GECOS 字段 --gecos Default(默认)
shell --shell Default(默认)
Kerberos 主体 --principal Default(默认)
电子邮件地址 --email 选填
密码 --password [b] 选填
用户 ID 号 --uid Default(默认)
组 ID 号 --gidnumber Default(默认)
街道地址 --street 选填
City --city 选填
州/省 --state 选填
zip 代码 --postalcode 选填
电话号码 --phone 选填
手机电话号码 --mobile 选填
寻呼器编号 --pager 选填
传真号码 --fax 选填
组织单元 --orgunit 选填
任务标题 --title 选填
Manager(管理者) --manager 选填
汽车许可证 --carlicense 选填
--noprivate 选填
SSH 密钥 --sshpubkey 选填
其他属性 --addattr 选填
部门编号 --departmentnumber 选填
员工号 --employeenumber 选填
员工类型 --employeetype 选填
首选语言 --preferredlanguage 选填
[a] 必须为每个条目设置必要属性。可选属性可以设置,而默认属性会自动添加预定义的值,除非指定了特定值。
[b] 脚本会提示输入新密码,而不是通过 参数接受值。

15.1. 关于更改默认用户和组架构

可以添加或更改用于用户和组条目的对象类和属性(第 15 章 用户和组架构)。
IdM 配置在对象类更改时提供一些验证:
  • LDAP 服务器必须知道所有对象类及其指定属性。
  • 为条目配置的所有默认属性都必须被配置的对象类支持。
但是,IdM 模式验证存在限制。最重要的是,IdM 服务器不会检查定义的用户或组对象类是否包含 IdM 条目所需的所有对象类。例如,所有 IdM 条目都需要 ipaobject 对象类。但是,当用户或组架构发生更改时,服务器不会检查确保包含此对象类;如果对象类被意外删除,则将来的条目添加操作将失败。
此外,所有对象类更改都是原子的,而不是增量的。每次有更改时都必须定义默认对象类的整个列表。例如,公司可以创建自定义对象类别来存储员工信息,如生日和就业开始日期。管理员不能简单地将自定义对象类添加到列表中;必须设置当前默认对象类的整个列表 加上 新的对象类。更新配置时,必须始终包含 现有的 默认对象类。否则,将覆盖当前设置,这会导致严重的性能问题。