Red Hat Training

A Red Hat training course is available for RHEL 8

36.3. 对带有 ID 视图的 IdM 客户端上的 AD 用户覆盖 Default Trust View 属性

您可能希望为活动目录(AD)用户覆盖 Default Trust View 中的一些 POSIX 属性。例如,您可能需要在一个特定的 IdM 客户端上给 AD 用户赋予一个不同的 GID。对 AD 用户,您可以使用一个 ID 视图覆盖 Default Trust View 中的一个值,并将其应用到单个主机。此流程解释了如何将 host1.idm.example.com IdM 客户端上的 ad_user@ad.example.com AD 用户的 GID 设为 732001337。

先决条件

  • 您有访问 host1.idm.example.com IdM 客户端的 root 权限。
  • 您已作为具有所需权限的用户登录了,如 admin 用户。

流程

  1. 创建 ID 视图。例如,创建名为 example_for_host1 的 ID 视图:

    $ ipa idview-add example_for_host1
    ---------------------------
    Added ID View "example_for_host1"
    ---------------------------
      ID View Name: example_for_host1
  2. 将用户覆盖添加到 example_for_host1 ID 视图。要覆盖用户的 GID:

    • 输入 ipa idoverrideuser-add 命令
    • 添加 ID 视图的名称
    • 添加用户名,也称为锚
    • 添加 --gidnumber= 选项:
    $ ipa idoverrideuser-add example_for_host1 ad_user@ad.example.com --gidnumber=732001337
    -----------------------------
    Added User ID override "ad_user@ad.example.com"
    -----------------------------
      Anchor to override: ad_user@ad.example.com
      GID: 732001337
  3. example_for_host1 应用到 host1.idm.example.com IdM 客户端:

    $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
    -----------------------------
    Applied ID View "example_for_host1"
    -----------------------------
    hosts: host1.idm.example.com
    ---------------------------------------------
    Number of hosts the ID View was applied to: 1
    ---------------------------------------------
    注意

    ipa idview-apply 命令也接受 --hostgroups 选项。选项将 ID 视图应用到属于指定主机组的主机,但不会将 ID 视图与主机组本身相关联。相反,--hostgroups 选项会展开指定主机组的成员,并将 --hosts 选项分别应用到其中的每一个成员。

    这意味着,如果以后将主机添加到主机组中,则 ID 视图不会应用到新主机。

  4. host1.idm.example.com IdM 客户端上的 SSSD 缓存中清除掉 ad_user@ad.example.com 用户的条目。这会删除过时的数据,并允许应用新的覆盖值。

    [root@host1 ~]# sssctl cache-expire -u ad_user@ad.example.com

验证步骤

  1. ad_user@ad.example.com 身份 SSHhost1

    [root@r8server ~]# ssh ad_user@ad.example.com@host1.idm.example.com
  2. 检索 ad_user@ad.example.com 用户的信息以验证 GID 是否反映了更新的值。

    [ad_user@ad.example.com@host1 ~]$ id ad_user@ad.example.com
    uid=702801456(ad_user@ad.example.com) gid=732001337(admins2)
    groups=732001337(admins2),702800513(domain users@ad.example.com)