19.7. Ajout d'utilisateurs sans groupe privé d'utilisateurs
Par défaut, l'IdM crée des groupes privés d'utilisateurs (UPG) chaque fois qu'un nouvel utilisateur est créé dans l'IdM. Les UPG sont un type de groupe spécifique :
- L'UPG porte le même nom que l'utilisateur nouvellement créé.
- L'utilisateur est le seul membre de l'UPG. L'UPG ne peut pas contenir d'autres membres.
- Le GID du groupe privé correspond à l'UID de l'utilisateur.
Il est toutefois possible d'ajouter des utilisateurs sans créer de GUP.
19.7.1. Utilisateurs sans groupe privé d'utilisateurs
Si un groupe NIS ou un autre groupe système utilise déjà le GID qui serait attribué à un groupe privé d'utilisateurs, il faut éviter de créer un UPG.
Vous pouvez le faire de deux manières :
- Ajouter un nouvel utilisateur sans UPG, sans désactiver globalement les groupes privés. Voir Ajouter un utilisateur sans groupe privé lorsque les groupes privés sont activés globalement.
- Désactivez globalement les groupes privés d'utilisateurs pour tous les utilisateurs, puis ajoutez un nouvel utilisateur. Voir Désactiver globalement les groupes privés d'utilisateurs pour tous les utilisateurs et Ajouter un utilisateur lorsque les groupes privés d'utilisateurs sont globalement désactivés.
Dans les deux cas, l'IdM exigera la spécification d'un GID lors de l'ajout de nouveaux utilisateurs, sinon l'opération échouera. En effet, l'IdM a besoin d'un GID pour le nouvel utilisateur, mais le groupe d'utilisateurs par défaut ipausers
est un groupe non-POSIX et n'a donc pas de GID associé. Le GID que vous spécifiez ne doit pas nécessairement correspondre à un groupe déjà existant.
La spécification du GID ne crée pas de nouveau groupe. Elle définit uniquement l'attribut GID pour le nouvel utilisateur, car cet attribut est requis par l'IdM.
19.7.2. Ajout d'un utilisateur sans groupe privé lorsque les groupes privés sont globalement activés
Vous pouvez ajouter un utilisateur sans créer de groupe privé d'utilisateurs (UPG), même si les UPG sont activés sur le système. Pour ce faire, vous devez définir manuellement un GID pour le nouvel utilisateur. Pour plus de détails sur les raisons de cette opération, voir Utilisateurs sans groupe privé d'utilisateurs.
Procédure
Pour empêcher l'IdM de créer un UPG, ajoutez l'option
--noprivate
à la commandeipa user-add
.Notez que pour que la commande aboutisse, vous devez spécifier un GID personnalisé. Par exemple, pour ajouter un nouvel utilisateur avec le GID 10000 :
$ ipa user-add jsmith --first=John --last=Smith --noprivate --gid 10000
19.7.3. Désactivation globale des groupes privés d'utilisateurs pour tous les utilisateurs
Vous pouvez désactiver globalement les groupes privés d'utilisateurs (UPG). Cela empêche la création de groupes privés d'utilisateurs pour tous les nouveaux utilisateurs. Les utilisateurs existants ne sont pas affectés par cette modification.
Procédure
Obtenir les privilèges d'administrateur :
kinit admin
IdM utilise le plug-in Directory Server Managed Entries pour gérer les UPG. Dressez la liste des instances du plug-in :
$ ipa-managed-entries --list
Pour s'assurer que IdM ne crée pas d'UPG, désactivez l'instance de plug-in responsable de la gestion des groupes privés d'utilisateurs :
$ ipa-managed-entries -e "UPG Definition" disable Disabling Plugin
NotePour réactiver l'instance
UPG Definition
ultérieurement, utilisez la commandeipa-managed-entries -e "UPG Definition" enable
.Redémarrez Directory Server pour charger la nouvelle configuration.
sudo systemctl restart dirsrv.target
Pour ajouter un utilisateur après la désactivation des UPG, vous devez spécifier un GID. Pour plus d'informations, voir Ajouter un utilisateur lorsque les groupes privés d'utilisateurs sont globalement désactivés
Verification steps
Pour vérifier si les UPG sont globalement désactivés, utilisez à nouveau la commande disable :
$ ipa-managed-entries -e "UPG Definition" disable Plugin already disabled
19.7.4. Ajout d'un utilisateur lorsque les groupes privés d'utilisateurs sont globalement désactivés
Lorsque les groupes privés d'utilisateurs (UPG) sont désactivés globalement, l'IdM n'attribue pas automatiquement un GID à un nouvel utilisateur. Pour ajouter un utilisateur avec succès, vous devez attribuer un GID manuellement ou à l'aide d'une règle automember. Pour plus d'informations, voir Utilisateurs sans groupe privé d'utilisateurs.
Conditions préalables
- Les groupes privés d'utilisateurs doivent être désactivés globalement pour tous les utilisateurs. Pour plus d'informations, voir Désactivation globale des groupes privés d'utilisateurs pour tous les utilisateurs
Procédure
Pour s'assurer que l'ajout d'un nouvel utilisateur réussit lorsque la création d'UPG est désactivée, choisissez l'une des options suivantes :
Spécifiez un GID personnalisé lors de l'ajout d'un nouvel utilisateur. Le GID ne doit pas nécessairement correspondre à un groupe d'utilisateurs existant.
Par exemple, lorsque vous ajoutez un utilisateur à partir de la ligne de commande, ajoutez l'option
--gid
à la commandeipa user-add
.- Utilisez une règle automember pour ajouter l'utilisateur à un groupe existant avec un GID.