7.5. AD 用户的 POSIX 和 ID 映射 ID 范围类型

身份管理(IdM)根据用户的 POSIX 用户 ID(UID)和组 ID(GID)强制实行访问控制规则。但是,活动目录(AD)用户是由安全标识符(SID)标识的。AD 管理员可以配置 AD 来存储 AD 用户和组的 POSIX 属性,如 uidNumbergidNumberUNIXHomeDirectoryloginShell

您可以通过使用 ipa-ad-trust-posix ID range 建立信任,来配置跨林信任引用此信息:

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust-posix

如果您没有在 AD 中存储 POSIX 属性,则系统安全服务守护进程(SSSD)可以根据在称为 ID 映射 的进程中用户的 SID 来一致地映射一个唯一的 UID。您可以通过使用 ipa-ad-trust ID range 创建信任来明确地选择此行为:

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust
警告

如果您在创建信任时没有指定 ID Range 类型,IdM 会尝试通过在林根域中请求 AD 域控制器的详情来自动选择适当的范围类型。如果 IdM 没有检测到任何 POSIX 属性,则信任安装脚本会选择 活动目录域 ID range。

如果 IdM 在林根域中检测到任何 POSIX 属性,则信任安装脚本会选择 带有 POSIX 属性的活动目录域 ID range,并假定已在 AD 中正确定义了 UID 和 GID。如果没有在 AD 中正确设置了 POSIX 属性,则您将无法解析 AD 用户。

例如,如果需要访问 IdM 系统的用户和组不是林根域的一部分,而是位于林域的子域中,则安装脚本可能检测不到子 AD 域中定义的 POSIX 属性。在这种情况下,红帽建议您在创建信任时明确选择 POSIX ID 范围类型。