Chapitre 34. Utilisation d'une vue ID pour remplacer une valeur d'attribut utilisateur sur un client IdM
Si un utilisateur de Identity Management (IdM) souhaite remplacer certains de ses attributs d'utilisateur ou de groupe stockés dans le serveur LDAP IdM, par exemple le nom de connexion, le répertoire personnel, le certificat utilisé pour l'authentification ou les clés SSH
, vous pouvez, en tant qu'administrateur IdM, redéfinir ces valeurs pour un client IdM spécifique, en utilisant les vues IdM ID. Par exemple, vous pouvez spécifier un répertoire personnel différent pour un utilisateur sur le client IdM que l'utilisateur utilise le plus souvent pour se connecter à IdM.
Ce chapitre explique comment redéfinir une valeur d'attribut POSIX associée à un utilisateur IdM sur un hôte inscrit à IdM en tant que client. Plus précisément, ce chapitre explique comment redéfinir le nom de connexion et le répertoire personnel de l'utilisateur.
Ce chapitre comprend les sections suivantes :
- Vues de l'ID
- Impact négatif potentiel des opinions de l'ID sur les performances du SSSD
- Attributs qu'une vue d'identification peut remplacer
- Obtenir de l'aide pour les commandes de la vue ID
- Utilisation d'une vue ID pour remplacer le nom de connexion d'un utilisateur IdM sur un hôte spécifique
- Modification d'une vue IdM ID
- Ajout d'une vue ID pour remplacer le répertoire personnel d'un utilisateur IdM sur un client IdM
- Application d'une vue ID à un groupe d'hôtes IdM
34.1. Vues de l'ID
Dans le cadre de la gestion des identités (IdM), une vue ID est une vue côté client IdM qui spécifie les informations suivantes :
- Nouvelles valeurs pour les attributs d'utilisateur ou de groupe POSIX définis de manière centralisée
- L'hôte ou les hôtes du client sur lesquels les nouvelles valeurs s'appliquent.
Une vue ID contient une ou plusieurs dérogations. Une dérogation est un remplacement spécifique d'une valeur d'attribut POSIX définie de manière centralisée.
Vous ne pouvez définir une vue ID pour un client IdM que de manière centralisée sur les serveurs IdM. Vous ne pouvez pas configurer localement des dérogations côté client pour un client IdM.
Par exemple, vous pouvez utiliser les vues d'identification pour atteindre les objectifs suivants :
-
Définir des valeurs d'attribut différentes pour des environnements différents. Par exemple, vous pouvez permettre à l'administrateur IdM ou à un autre utilisateur IdM d'avoir différents répertoires personnels sur différents clients IdM : vous pouvez configurer
/home/encrypted/username
comme répertoire personnel de cet utilisateur sur un client IdM et/dropbox/username
sur un autre client. L'utilisation des vues ID dans cette situation est pratique, car sinon, par exemple, la modification defallback_homedir
,override_homedir
ou d'autres variables de répertoire personnel dans le fichier/etc/sssd/sssd.conf
du client affecterait tous les utilisateurs. Voir Ajouter une vue ID pour remplacer le répertoire personnel d'un utilisateur IdM sur un client IdM pour un exemple de procédure. - Remplacer une valeur d'attribut générée précédemment par une valeur différente, par exemple remplacer l'UID d'un utilisateur. Cette possibilité peut s'avérer utile lorsque vous souhaitez effectuer une modification à l'échelle du système qui serait autrement difficile à réaliser du côté de LDAP, par exemple faire de 1009 l'UID d'un utilisateur IdM. Les plages d'ID IdM, qui sont utilisées pour générer l'UID d'un utilisateur IdM, ne commencent jamais aussi bas que 1000 ou même 10000. S'il existe une raison pour qu'un utilisateur IdM se fasse passer pour un utilisateur local avec l'UID 1009 sur tous les clients IdM, vous pouvez utiliser les vues ID pour remplacer l'UID de cet utilisateur IdM qui a été généré lorsque l'utilisateur a été créé dans l'IdM.
Vous ne pouvez appliquer les vues ID qu'aux clients IdM, et non aux serveurs IdM.
Ressources supplémentaires