Menu Close

7.7. 自动为 AD 用户映射私有组的选项:ID 映射信任

Linux 环境中的每个用户都有一个主用户组。Red Hat Enterprise Linux(RHEL)使用用户私有组(UPG)模式:UPG 与其创建的用户的名称相同,并且该用户是 UPG 的唯一成员。

如果您已为 AD 用户分配了 UID,但没有添加 GID,您可以通过调整该 ID 范围的 auto_private_groups 设置来根据其 UID 将 SSSD 配置成自动为用户映射私有组。

默认情况下,对于在 ID 映射信任中使用的 ipa-ad-trust ID ranges,auto_private_groups 选项被设为 true。通过此配置,SSSD 会根据其安全标识符(SID)计算 AD 用户的 UID 和 GID。SSSD 忽略 AD 中的任何 POSIX 属性,如 uidNumbergidNumber,同时忽略 primaryGroupID

auto_private_groups = true

SSSD 始终将设置为 GID 的私有组映射为与 UID 匹配,该 UID 基于 AD 用户的 SID。

表 7.5. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 true 时 SSSD 的行为

AD 中的用户配置id username 的输出

AD 用户条目,其中:

  • SID 映射为 7000
  • primaryGroupID 映射为 8000

# id aduser@AD-DOMAIN.COM uid=7000(aduser@ad-domain.com)gid=7000(aduser@ad-domain.com)groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …​

auto_private_groups = false

如果将 auto_private_groups 选项设为 false,SSSD 将使用 AD 条目中设置的 primaryGroupID 作为 GID 号。primaryGroupID 的默认值对应于 AD 中的 Domain Users 组。

表 7.6. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 false 时 SSSD 的行为

AD 中的用户配置id username 的输出

AD 用户条目,其中:

  • SID 映射为 7000
  • primaryGroupID 映射为 8000

# id aduser@AD-DOMAIN.COM uid=7000(aduser@ad-domain.com)gid=8000(adgroup@ad-domain.com)groups=8000(adgroup@ad-domain.com), …​