Red Hat SummitChapitre 46. Configuration de l'ordre de résolution du domaine pour résoudre les noms d'utilisateur AD courts
Par défaut, vous devez spécifier des noms entièrement qualifiés au format user_name@domain.com ou domain.com\user_name pour résoudre et authentifier les utilisateurs et les groupes d'un environnement Active Directory (AD). Les sections suivantes décrivent comment configurer les serveurs et les clients IdM pour résoudre les noms d'utilisateur et de groupe AD abrégés.
46.1. Comment fonctionne l'ordre de résolution de domaine
Dans les environnements de gestion d'identité (IdM) avec une confiance Active Directory (AD), Red Hat recommande de résoudre et d'authentifier les utilisateurs et les groupes en spécifiant leurs noms entièrement qualifiés. Par exemple, Red Hat recommande de résoudre et d'authentifier les utilisateurs et les groupes en spécifiant leur nom complet :
-
<idm_username>@idm.example.compour les utilisateurs IdM du domaineidm.example.com -
<ad_username>@ad.example.compour les utilisateurs AD du domainead.example.com
Par défaut, si vous effectuez des recherches d'utilisateurs ou de groupes en utilisant le format short name, tel que ad_username, IdM ne recherche que le domaine IdM et ne parvient pas à trouver les utilisateurs ou les groupes AD. Pour résoudre les utilisateurs ou les groupes AD à l'aide de noms courts, modifiez l'ordre dans lequel l'IdM recherche plusieurs domaines en définissant l'option domain resolution order.
Vous pouvez définir l'ordre de résolution des domaines de manière centralisée dans la base de données IdM ou dans la configuration SSSD des clients individuels. L'IdM évalue l'ordre de résolution des domaines dans l'ordre de priorité suivant :
-
La configuration locale de
/etc/sssd/sssd.conf. - La configuration de la vue ID.
- La configuration globale de l'IdM.
Notes
-
Vous devez utiliser des noms d'utilisateur complets si la configuration SSSD sur l'hôte inclut l'option
default_domain_suffixet que vous souhaitez adresser une requête à un domaine non spécifié avec cette option. -
Si vous utilisez l'option
domain resolution orderet que vous interrogez l'arbrecompat, il se peut que vous receviez plusieurs identifiants d'utilisateur (UID). Si vous êtes concerné, consultez le rapport de bogue de Pagure intitulé Inconsistent compat user objects for AD users when domain resolution order is set (Objets utilisateur compat incohérents pour les utilisateurs AD lorsque l'ordre de résolution du domaine est défini).
N'utilisez pas l'option full_name_format SSSD sur les clients ou les serveurs IdM. L'utilisation d'une valeur autre que la valeur par défaut pour cette option modifie l'affichage des noms d'utilisateur et peut perturber les recherches dans un environnement IdM.
Ressources supplémentaires
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}