34.5. Utilisation d'une vue ID pour remplacer le nom de connexion d'un utilisateur IdM sur un hôte spécifique
Cette section décrit comment, en tant qu'administrateur du système de gestion des identités (IdM), vous pouvez créer une vue ID pour un client IdM spécifique qui remplace une valeur d'attribut POSIX associée à un utilisateur IdM spécifique. La procédure utilise l'exemple d'une vue ID qui permet à un utilisateur IdM nommé idm_user de se connecter à un client IdM nommé host1 en utilisant le nom de connexion user_1234.
Conditions préalables
- Vous êtes connecté en tant qu'administrateur IdM.
Procédure
Créez une nouvelle vue d'identification. Par exemple, pour créer une vue ID nommée
example_for_host1
:$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1
Ajoutez une dérogation pour l'utilisateur à la vue example_for_host1 ID. Pour remplacer le login de l'utilisateur :
-
Entrez la commande
ipa idoverrideuser-add
- Ajouter le nom de la vue ID
- Ajouter le nom d'utilisateur, également appelé l'ancre
Ajouter l'option
--login
:$ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234 ----------------------------- Added User ID override "idm_user" ----------------------------- Anchor to override: idm_user User login: user_1234
Pour obtenir la liste des options disponibles, exécutez ipa idoverrideuser-add --help.
NoteLa commande
ipa idoverrideuser-add --certificate
remplace tous les certificats existants pour le compte dans la vue ID spécifiée. Pour ajouter un certificat supplémentaire, utilisez plutôt la commandeipa idoverrideuser-add-cert
:$ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
-
Entrez la commande
-
Facultatif : La commande
ipa idoverrideuser-mod
vous permet de spécifier de nouvelles valeurs d'attribut pour une dérogation utilisateur existante. Appliquer
example_for_host1
à l'hôtehost1.idm.example.com
:$ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
NoteLa commande
ipa idview-apply
accepte également l'option--hostgroups
. Cette option applique la vue ID aux hôtes qui appartiennent au groupe d'hôtes spécifié, mais n'associe pas la vue ID au groupe d'hôtes lui-même. Au lieu de cela, l'option--hostgroups
développe les membres du groupe d'hôtes spécifié et applique l'option--hosts
individuellement à chacun d'entre eux.Cela signifie que si un hôte est ajouté au groupe d'hôtes dans le futur, la vue ID ne s'applique pas au nouvel hôte.
Pour appliquer immédiatement la nouvelle configuration au système host1.idm.example.com:
Accédez au système par SSH en tant que root :
$ ssh root@host1 Password:
Effacer le cache SSSD :
root@host1 ~]# sss_cache -E
- Redémarrez le démon SSSD :
root@host1 ~]# systemctl restart sssd
Verification steps
Si vous disposez des informations d'identification de user_1234, vous pouvez les utiliser pour vous connecter à l'IdM sur host1:
SSH à host1 en utilisant user_1234 comme nom de connexion :
[root@r8server ~]# ssh user_1234@host1.idm.example.com Password: Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229 [user_1234@host1 ~]$
Affiche le répertoire de travail :
[user_1234@host1 ~]$ pwd /home/idm_user/
Par ailleurs, si vous disposez d'informations d'identification root sur host1, vous pouvez les utiliser pour vérifier la sortie de la commande
id
pour idm_user et user_1234:[root@host1 ~]# id idm_user uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user) [root@host1 ~]# user_1234 uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)