Red Hat Training

A Red Hat training course is available for RHEL 8

第 30 章 使用 ID 视图覆盖 IdM 客户端中的用户属性值

如果 Identity Management(IdM)用户希望覆盖存储在 IdM LDAP 服务器中的一些用户或组属性,例如登录名称、主目录、用于身份验证的证书或 SSH 密钥,您将作为 IdM 管理员可以使用 IdM ID 视图重新定义特定 IdM 客户端的这些值。例如,您可以为 IdM 客户端中的用户指定不同的主目录,此用户最常用于登录 IdM。

本章论述了如何重新定义在作为客户端注册 IdM 的主机上与 IdM 用户关联的 POSIX 属性值。具体来说,本章论述了如何重新定义用户登录名称和主目录。

本章包括以下部分:

30.1. ID 视图

Identity Management(IdM)中的 ID 视图是一个 IdM 客户端侧视图,它指定以下信息:

  • 集中定义的 POSIX 用户或组属性的新值
  • 应用新值的客户端主机或主机。

ID 视图包含一个或多个覆盖。覆盖是集中定义的 POSIX 属性值的特定替换。

您只能为 IdM 服务器中集中的 IdM 客户端定义 ID 视图。您无法在本地为 IdM 客户端配置客户端覆盖。

例如,您可以使用 ID 视图来实现以下目标:

  • 为不同的环境定义不同的属性值。例如,您可以允许 IdM 管理员或其他 IdM 用户在不同 IdM 客户端上拥有不同的主目录:您可以在另一个 IdM 客户端上将 /home/crypt/username 配置为此用户的主目录,并在另一个客户端上将 /dropbox/username 配置为此用户的主目录。在这种情况下使用 ID 视图非常方便,例如,更改 fallback_homediroverwrite_homedir 或客户端的 /etc/sssd/sssd.conf 文件中的其他主目录变量将影响所有用户。例如,请参阅添加 ID 视图来覆盖 IdM 客户端上的 IdM 用户主目录
  • 将之前生成的属性值替换为其他值,如覆盖用户的 UID。当您要实现系统范围的更改时,此功能非常有用,否则在 LDAP 方面很难实现,例如将 1009 设为 IdM 用户的 UID。用于生成 IdM 用户 UID 的 IdM ID 范围从不低于 1000 甚至 10000。如果 IdM 用户所有 IdM 客户端上存在一个 UID 为 1009 的本地用户,您可以使用 ID 视图覆盖在 IdM 中创建用户时生成的 IdM 用户的 UID。
重要

您只能将 ID 视图应用到 IdM 客户端,不适用于 IdM 服务器。

其它资源