Menu Close

7.10. 非POSIX 外部组和 SID 映射

身份管理 (IdM) 使用 LDAP 管理组.Active Directory (AD) 条目没有同步或复制到 IdM,这意味着 AD 用户和组在 LDAP 服务器中没有 LDAP 对象,因此不能直接用于表达 IdM LDAP 中的组成员资格。因此,IdM 中的管理员需要创建非POSIX 外部组,作为普通 IdM LDAP 对象引用,以标记 IdM 中 AD 用户和组的组成员资格。

非 POSIX 外部组的安全 ID (SID) 由 SSSD 处理,它将 Active Directory 中的组的 SID 映射到 IdM 中的 POSIX 组。在 Active Directory 中,SID 与用户名相关联。当使用 AD 用户名访问 IdM 资源时,SSSD 会使用用户的 SID 为 IdM 域中的用户构建完整的组成员资格信息。