Chapitre 21. Gérer les groupes d'utilisateurs à l'aide de playbooks Ansible
Cette section présente la gestion des groupes d'utilisateurs à l'aide des playbooks Ansible.
Un groupe d'utilisateurs est un ensemble d'utilisateurs ayant des privilèges, des politiques de mot de passe et d'autres caractéristiques communes.
Dans le cadre de la gestion des identités (IdM), un groupe d'utilisateurs peut inclure :
- Utilisateurs de l'IdM
- d'autres groupes d'utilisateurs de l'IdM
- les utilisateurs externes, c'est-à-dire les utilisateurs qui existent en dehors de l'IdM
La section comprend les sujets suivants :
- Les différents types de groupes dans l'IdM
- Membres directs et indirects du groupe
- Assurer la présence de groupes IdM et de membres de groupes à l'aide de playbooks Ansible
- Utiliser Ansible pour permettre aux utilisateurs AD d'administrer IdM
- Assurer la présence de gestionnaires de membres dans les groupes d'utilisateurs IDM à l'aide de playbooks Ansible
- Garantir l'absence de gestionnaires de membres dans les groupes d'utilisateurs IDM à l'aide de playbooks Ansible
21.1. Les différents types de groupes dans l'IdM
IdM prend en charge les types de groupes suivants :
- Groupes POSIX (par défaut)
Les groupes POSIX prennent en charge les attributs Linux POSIX pour leurs membres. Notez que les groupes qui interagissent avec Active Directory ne peuvent pas utiliser les attributs POSIX.
Les attributs POSIX identifient les utilisateurs en tant qu'entités distinctes. Parmi les exemples d'attributs POSIX concernant les utilisateurs, on peut citer
uidNumber, un numéro d'utilisateur (UID), etgidNumber, un numéro de groupe (GID).- Groupes non-POSIX
Les groupes non-POSIX ne prennent pas en charge les attributs POSIX. Par exemple, ces groupes n'ont pas de GID défini.
Tous les membres de ce type de groupe doivent appartenir au domaine IdM.
- Groupes externes
Utilisez les groupes externes pour ajouter des membres de groupes qui existent dans un magasin d'identité en dehors du domaine IdM, par exemple :
- Un système local
- Un domaine Active Directory
- Un service d'annuaire
Les groupes externes ne prennent pas en charge les attributs POSIX. Par exemple, ces groupes n'ont pas de GID défini.
| Nom du groupe | Membres du groupe par défaut |
|---|---|
|
| Tous les utilisateurs de l'IdM |
|
|
Utilisateurs disposant de privilèges administratifs, y compris l'utilisateur par défaut |
|
| Il s'agit d'un groupe ancien qui ne bénéficie plus de privilèges particuliers |
|
| Utilisateurs ayant des privilèges pour gérer les trusts Active Directory |
Lorsque vous ajoutez un utilisateur à un groupe d'utilisateurs, celui-ci bénéficie des privilèges et des règles associés au groupe. Par exemple, pour accorder des privilèges administratifs à un utilisateur, ajoutez-le au groupe admins.
Ne pas supprimer le groupe admins. Comme admins est un groupe prédéfini requis par IdM, cette opération pose des problèmes avec certaines commandes.
En outre, IdM crée user private groups par défaut chaque fois qu'un nouvel utilisateur est créé dans IdM. Pour plus d'informations sur les groupes privés, voir Ajouter des utilisateurs sans groupe privé.
