Red Hat Training

A Red Hat training course is available for RHEL 8

34.2. 在外部管理 IdM 组帐户的模板

本节论述了 IdM 中各种用户组管理操作的模板。模板显示您必须使用 ldapmodify 修改哪些属性来实现以下目的:

  • 创建新组
  • 删除现有组
  • 将成员添加到组中
  • 从组中删除成员

模板采用 LDAP 数据交换格式(LDIF)格式。LDIF 是一种标准的纯文本数据交换格式,用于表示 LDAP 目录内容和更新请求。

通过使用模板,您可以配置调配系统的 LDAP 供应商来管理 IdM 组帐户。

创建新组

dn: cn=group_name,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
changetype: add
objectClass: top
objectClass: ipaobject
objectClass: ipausergroup
objectClass: groupofnames
objectClass: nestedgroup
objectClass: posixgroup
uid: group_name
cn: group_name
gidNumber: GID_number

修改组

  • 删除现有组

    dn: group_distinguished_name
    changetype: delete
  • 将成员添加到组中

    dn: group_distinguished_name
    changetype: modify
    add: member
    member: uid=user_login,cn=users,cn=accounts,dc=idm,dc=example,dc=com

    不要向组添加阶段或保留的用户。尽管更新操作成功完成,但不会作为组的成员更新用户。只有活动用户才能属于组。

  • 从组中删除成员

    dn: distinguished_name
    changetype: modify
    delete: member
    member: uid=user_login,cn=users,cn=accounts,dc=idm,dc=example,dc=com
注意

在修改组之前,使用组的名称搜索来获取组的可分辨名称(DN)。

# ldapsearch -YGSSAPI -H ldap://server.idm.example.com -b "cn=groups,cn=accounts,dc=idm,dc=example,dc=com" "cn=group_name"
dn: cn=group_name,cn=groups,cn=accounts,dc=idm,dc=example,dc=com
ipaNTSecurityIdentifier: S-1-5-21-1650388524-2605035987-2578146103-11017
cn: testgroup
objectClass: top
objectClass: groupofnames
objectClass: nestedgroup
objectClass: ipausergroup
objectClass: ipaobject
objectClass: posixgroup
objectClass: ipantgroupattrs
ipaUniqueID: 569bf864-9d45-11ea-bea3-525400f6f085
gidNumber: 1997010017