Red Hat SummitCapítulo 23. Uso de una vista de identificación para anular el valor de un atributo de usuario en un cliente IdM
Si un usuario de Gestión de identidades (IdM) desea anular algunos de sus atributos de usuario o grupo almacenados en el servidor LDAP de IdM, por ejemplo, el nombre de inicio de sesión, el directorio principal, el certificado utilizado para la autenticación o las claves de SSH, usted, como administrador de IdM, puede redefinir estos valores para un cliente de IdM específico, utilizando las vistas de IdM ID. Por ejemplo, puede especificar un directorio de inicio diferente para un usuario en el cliente IdM que el usuario utiliza más comúnmente para iniciar sesión en IdM.
Este capítulo describe cómo redefinir un valor de atributo POSIX asociado a un usuario de IdM en un host inscrito en IdM como cliente. En concreto, el capítulo describe cómo redefinir el nombre de inicio de sesión del usuario y el directorio raíz.
Este capítulo incluye las siguientes secciones:
- Vistas de identificación
- Posible impacto negativo de las opiniones de ID en el rendimiento del SSSD
- Atributos que una vista de identificación puede anular
- Obtención de ayuda para los comandos de la vista de identificación
- Uso de una vista de ID para anular el nombre de inicio de sesión de un usuario de IdM en un host específico
- Modificación de una vista IdM ID
- Añadir una vista de ID para anular el directorio principal de un usuario de IdM en un cliente de IdM
- Aplicación de una vista de ID a un grupo de hosts de IdM
23.1. Vistas de identificación
Una vista de ID en la gestión de identidades (IdM) es una vista del lado del cliente de IdM que especifica la siguiente información:
- Nuevos valores para los atributos de usuario o grupo POSIX definidos de forma centralizada
- El host o los hosts cliente en los que se aplican los nuevos valores.
Una vista de ID contiene una o más anulaciones. Un override es un reemplazo específico de un valor de atributo POSIX definido centralmente.
Sólo se puede definir una vista de ID para un cliente IdM de forma centralizada en los servidores IdM. No se pueden configurar anulaciones del lado del cliente para un cliente IdM de forma local.
Por ejemplo, puede utilizar las vistas de ID para lograr los siguientes objetivos:
-
Defina diferentes valores de atributos para diferentes entornos. Por ejemplo, puede permitir que el administrador de IdM u otro usuario de IdM tenga diferentes directorios personales en diferentes clientes de IdM: puede configurar
/home/encrypted/usernamepara que sea el directorio personal de este usuario en un cliente de IdM y/dropbox/usernameen otro cliente. El uso de las vistas de ID en esta situación es conveniente, ya que de lo contrario, por ejemplo, el cambio defallback_homedir,override_homediru otras variables de directorio personal en el archivo/etc/sssd/sssd.confdel cliente afectaría a todos los usuarios. Véase Añadir una vista de ID para anular el directorio principal de un usuario IdM en un cliente IdM para ver un procedimiento de ejemplo. - Reemplazar un valor de atributo generado previamente con un valor diferente, como anular el UID de un usuario. Esta capacidad puede ser útil cuando se quiere lograr un cambio en todo el sistema que de otro modo sería difícil de hacer en el lado de LDAP, por ejemplo, hacer 1009 el UID de un usuario IdM. Los rangos de ID de IdM, que se utilizan para generar un UID de usuario de IdM, nunca comienzan tan bajos como 1000 o incluso 10000. Si existe una razón para que un usuario de IdM suplante a un usuario local con UID 1009 en todos los clientes de IdM, puede utilizar las vistas de ID para anular el UID de este usuario de IdM que se generó cuando se creó el usuario en IdM.
Sólo se pueden aplicar vistas de ID a los clientes de IdM, no a los servidores de IdM.
Recursos adicionales
- También puede utilizar las vistas de ID en entornos que incluyan Active Directory (AD). Para obtener más detalles, consulte el capítulo Vistas de ID y migración de entornos existentes a la confianza en el Windows integration guide.
- También puede configurar vistas de ID para hosts que no forman parte de un dominio de gestión de identidades centralizado. Para más detalles, consulte el capítulo Vistas del lado del cliente de SSSD en la guía System-level authentication guide.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}