Red Hat Training

A Red Hat training course is available for RHEL 8

14.12. 为 IdM 中的本地和远程组启用组合并

组可以是集中管理的,由域,如身份管理(IdM)或活动(AD)提供,或者它们在本地系统上的 etc/group 文件中管理。在大多数情况下,用户依赖于集中管理的存储。然而,在某些情况下,软件仍依赖于已知组中的成员资格来管理访问控制。

如果要管理域控制器和本地 etc/group 中的文件组,您可以启用组合并。您可以配置 nsswitch.conf 文件,来检查本地文件和远程服务。如果组在这两个地方都出现,则将合并成员用户列表,并在单个响应中返回。

以下步骤描述了如何为用户 idmuser 启用组合并。

流程

  1. [SUCCESS=merge] 添加到 /etc/nsswitch.conf 文件中:

    # Allow initgroups to default to the setting for group.
    initgroups: sss [SUCCESS=merge] files
  2. idmuser 添加到 IdM 中:

    # ipa user-add idmuser
    First name: idm
    Last name: user
    ---------------------
    Added user "idmuser"
    ---------------------
    User login: idmuser
    First name: idm
    Last name: user
    Full name: idm user
    Display name: idm user
    Initials: tu
    Home directory: /home/idmuser
    GECOS: idm user
    Login shell: /bin/sh
    Principal name: idmuser@IPA.TEST
    Principal alias: idmuser@IPA.TEST
    Email address: idmuser@ipa.test
    UID: 19000024
    GID: 19000024
    Password: False
    Member of groups: ipausers
    Kerberos keys available: False
  3. 验证本地 audio 组的 GID。

    $ getent group audio
    ---------------------
    audio:x:63
  4. 将组 audio 添加到 IdM 中:

    $ ipa group-add audio --gid 63
    -------------------
    Added group "audio"
    -------------------
    Group name: audio
    GID: 63
    注意

    您在将 audio 组添加到 IdM 时定义的 GID 必须与本地 audio 组的 GID 相同。

  5. idmuser 用户添加到 IdM audio 组中:

    $ ipa group-add-member audio --users=idmuser
    Group name: audio
    GID: 63
    Member users: idmuser
    -------------------------
    Number of members added 1
    -------------------------

验证

  1. idmuser 身份登录。
  2. 验证 idmuser 在其会话中是否有本地组:

    $ id idmuser
    uid=1867800003(idmuser) gid=1867800003(idmuser) groups=1867800003(idmuser),63(audio),10(wheel)