35.3. Remplacement des attributs de la vue de confiance par défaut pour un utilisateur AD sur un client IdM avec une vue ID
Il se peut que vous souhaitiez remplacer certains attributs POSIX de la vue de confiance par défaut pour un utilisateur Active Directory (AD). Par exemple, vous pouvez avoir besoin de donner à un utilisateur AD un GID différent sur un client IdM particulier. Vous pouvez utiliser une vue ID pour remplacer une valeur de la vue de confiance par défaut pour un utilisateur AD et l'appliquer à un seul hôte. Cette procédure explique comment définir le GID de l'utilisateur AD ad_user@ad.example.com sur le client IdM host1.idm.example.com à 732001337.
Conditions préalables
-
Vous disposez d'un accès root au client
host1.idm.example.comIdM. -
Vous êtes connecté en tant qu'utilisateur disposant des privilèges requis, par exemple l'utilisateur
admin.
Procédure
Créez une vue d'identification. Par exemple, pour créer une vue ID nommée example_for_host1:
$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1Ajoutez une dérogation pour l'utilisateur à la vue example_for_host1 ID. Pour remplacer le GID de l'utilisateur :
-
Entrez la commande
ipa idoverrideuser-add - Ajouter le nom de la vue ID
- Ajouter le nom d'utilisateur, également appelé l'ancre
-
Ajouter l'option
--gidnumber=:
$ ipa idoverrideuser-add example_for_host1 ad_user@ad.example.com --gidnumber=732001337 ----------------------------- Added User ID override "ad_user@ad.example.com" ----------------------------- Anchor to override: ad_user@ad.example.com GID: 732001337-
Entrez la commande
Appliquer
example_for_host1au clienthost1.idm.example.comIdM :$ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------NoteLa commande
ipa idview-applyaccepte également l'option--hostgroups. Cette option applique la vue ID aux hôtes qui appartiennent au groupe d'hôtes spécifié, mais n'associe pas la vue ID au groupe d'hôtes lui-même. Au lieu de cela, l'option--hostgroupsdéveloppe les membres du groupe d'hôtes spécifié et applique l'option--hostsindividuellement à chacun d'entre eux.Cela signifie que si un hôte est ajouté au groupe d'hôtes dans le futur, la vue ID ne s'applique pas au nouvel hôte.
Effacez l'entrée de l'utilisateur
ad_user@ad.example.comdu cache SSSD sur le client IdMhost1.idm.example.com. Cela supprime les données périmées et permet d'appliquer la nouvelle valeur d'annulation.[root@host1 ~]# sssctl cache-expire -u ad_user@ad.example.com
Étapes de la vérification
SSHà host1 comme ad_user@ad.example.com:[root@r8server ~]# ssh ad_user@ad.example.com@host1.idm.example.comRécupérer les informations relatives à l'utilisateur
ad_user@ad.example.compour vérifier que le GID reflète la valeur mise à jour.[ad_user@ad.example.com@host1 ~]$ id ad_user@ad.example.com uid=702801456(ad_user@ad.example.com) gid=732001337(admins2) groups=732001337(admins2),702800513(domain users@ad.example.com)
