Red Hat Training

A Red Hat training course is available for RHEL 8

84.2. 使用 ID 覆盖来启用 AD 用户管理 IdM

按照以下流程,为 AD 用户创建和使用 ID 覆盖,以给该用户授予与 IdM 用户相同的权利。在此过程中,可在配置为信任控制器或信任代理的 IdM 服务器中工作。

先决条件

  • 在身份管理(IdM)服务器上启用了 idm:DL1 流,您切换到通过这个流提供的 RPM:

    # yum module enable idm:DL1
    # yum distro-sync
  • idm:DL1/adtrust 配置集安装在 IdM 服务器上。

    # yum module install idm:DL1/adtrust

    该配置集包含安装与 Active Directory (AD)具有信任协议的 IdM 服务器所需的所有软件包。

  • 设置了一个有效的 IdM 环境。详情请参阅 安装身份管理
  • 您的 IdM 环境与 AD 之间设置了有效信任。

流程

  1. 作为 IdM 管理员,在 Default Trust View 中为 AD 用户创建一个 ID 覆盖。例如,要为用户 ad_user@ad.example.com 创建 ID 覆盖:

    # kinit admin
    # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
  2. 添加 Default Trust View 中的 ID 覆盖作为 IdM 组的成员。这必须是非 POSIX 组,因为它与 Active Directory 交互。

    如果问题中的组是 IdM 角色的成员,则 ID 覆盖所代表的 AD 用户在使用 IdM API 时获得角色授予的所有权限,包括命令行界面和 IdM Web UI。

    例如,要将 ad_user@ad.example.com 用户的 ID 覆盖添加到 IdM admins 组中:

    # ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
  3. 或者,您可以在角色中添加 ID 覆盖,如 User Administrator 角色:

    # ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com