Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.3. 为 ActiveActive Directorynbsp 创建 IdM 组;Directory 用户

需要用户组来设置 IdM 用户的访问权限、基于主机的访问控制、sudo 规则和其他控制。这些组是授予 IdM 域资源访问权限并限制访问的方式。
AD 用户和 AD 组都可以直接添加到 IdM 用户组中。为此,首先将 AD 用户或组添加到非POSIX IdM 外部组中,然后添加到本地 IdM POSIX 组。然后,POSIX 组可用于 AD 用户的用户和角色管理。IdM 中处理非POSIX 组的原则请参考 第 5.1.3.2 节 “Active Directory 用户和身份管理组”
注意
也可以将 AD 用户组添加为 IdM 外部组的成员。通过在单个 AD 域内保持用户和组管理,这可以更加轻松地为 Windows 用户定义策略。
  1. 可选。在 AD 域中创建或选择要用于管理 IdM 域中的 AD 用户的组。多个组可用于 IdM 端的不同组并添加到不同的组中。
  2. 通过将 --external 选项添加到 ipa group-add 命令,在 IdM 域中为 ActiveActive Directorynbsp;Directory 用户创建一个外部组。external 选项表示此组旨在包含 IdM 域外的成员。例如: 
    [root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external
-------------------------------
Added group "ad_users_external"
-------------------------------
  Group name: ad_users_external
  Description: AD users external map
    注意
    外部组必须链接到一组其他用户,而不是用户的主组。Activeactive Directorynbsp;Directory 将组成员存储在组的 member 属性中,IdM 使用此属性来解析成员。但是,ActiveActive Directorynbsp;Directory 将用户的主组群保存在用户条目的 primaryGroupID 属性中,该属性没有被解决。
  3. 创建一个新的 IdM POSIX 组,或选择一个现有组来管理 IdM 策略。例如,要创建新组: 
    [root@ipaserver ~]# ipa group-add --desc='AD users' ad_users
----------------------
Added group "ad_users"
----------------------
  Group name: ad_users
  Description: AD users
  GID: 129600004
  4. 将 AD 用户或组作为外部成员添加到 IdM 外部组中。AD 成员通过其完全限定名称标识,如DOMAIN\group_name 或 DOMAIN\username。然后,AD 身份被映射到用户或组的 ActiveActive Directorynbsp;Directory SID。
    例如,对于 AD 组: 
    [root@ipaserver ~]# ipa group-add-member ad_users_external --external "AD\Domain Users"
 [member user]:
 [member group]:
  Group name: ad_users_external
  Description: AD users external map
  External member: S-1-5-21-3655990580-1375374850-1633065477-513 SID_DOM_GROUP (2)
-------------------------
Number of members added 1
-------------------------
  5. 将外部 IdM 组作为成员添加到 POSIX IdM 组。例如: 
    [root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external
  Group name: ad_users
  Description: AD users
  GID: 129600004
  Member groups: ad_users_external
-------------------------
Number of members added 1
-------------------------