Red Hat Training

A Red Hat training course is available for RHEL 8

16.4. 使用 IdM CLI 在自动成员规则中添加条件

本节论述了如何使用 IdM CLI 在自动成员规则中添加条件。有关自动成员规则的详情,请参考 Automember 规则

先决条件

流程

  1. 使用 ipa automember-add-condition 命令定义一个或多个包含或专用条件。
  2. 在提示时,指定:

    • 自动成员规则.这是目标规则名称。详情请查看 Automember 规则
    • 属性键.这将指定过滤器将应用到的条目属性。例如,uid 适用于用户:
    • 分组类型.这将指定规则以用户组还是主机组为目标。要目标用户组,请输入组。若要目标主机组,可输入 hostgroup
    • 包含正则表达式和 独占正则表达式.它们将一个或多个条件指定为正则表达式。如果您只想指定一个条件,在提示输入另一个条件时按 Enter 键

    例如,以下条件针对用户登录属性(uid)中任何值(.*)的所有用户。

    $ ipa automember-add-condition
    Automember Rule: user_group
    Attribute Key: uid
    Grouping Type: group
    [Inclusive Regex]: .*
    [Exclusive Regex]:
    ----------------------------------
    Added condition(s) to "user_group"
    ----------------------------------
      Automember Rule: user_group
      Inclusive Regex: uid=.*
    ----------------------------
    Number of conditions added 1
    ----------------------------

    再举一个例子,您可以使用自动成员资格规则以从 Active Directory(AD)同步的所有 Windows 用户为目标。要达到此目的,请创建一个条件,该条件将在其 项中以所有用户 withntUser 为目标,该属性由所有 AD 用户共享:

    $ ipa automember-add-condition
    Automember Rule: ad_users
    Attribute Key: objectclass
    Grouping Type: group
    [Inclusive Regex]: ntUser
    [Exclusive Regex]:
    -------------------------------------
    Added condition(s) to "ad_users"
    -------------------------------------
      Automember Rule: ad_users
      Inclusive Regex: objectclass=ntUser
    ----------------------------
    Number of conditions added 1
    ----------------------------