Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

7.5. POSIX et mappage d'ID Types de plages d'ID pour les utilisateurs AD

download PDF

La gestion des identités (IdM) applique des règles de contrôle d'accès basées sur l'ID utilisateur POSIX (UID) et l'ID de groupe (GID) d'un utilisateur. Les utilisateurs d'Active Directory (AD), cependant, sont identifiés par des identifiants de sécurité (SID). Les administrateurs AD peuvent configurer AD pour stocker des attributs POSIX pour vos utilisateurs et groupes AD, tels que uidNumber, gidNumber, unixHomeDirectory, ou loginShell.

Vous pouvez configurer une confiance inter-forêts pour référencer ces informations en établissant une confiance avec la plage d'ID ipa-ad-trust-posix: 

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust-posix

Si vous ne stockez pas d'attributs POSIX dans AD, le System Security Services Daemon (SSSD) peut mapper de manière cohérente un UID unique basé sur le SID d'un utilisateur dans un processus appelé ID mapping. Vous pouvez explicitement choisir ce comportement en créant une confiance avec la plage d'ID ipa-ad-trust: 

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust
Avertissement

Si vous ne spécifiez pas un type de plage d'identifiants lors de la création d'une fiducie, l'IdM tente de sélectionner automatiquement le type de plage approprié en demandant des détails aux contrôleurs de domaine AD dans le domaine racine de la forêt. Si l'IdM ne détecte aucun attribut POSIX, le script d'installation du trust sélectionne la plage d'identifiants Active Directory domain.

Si IdM détecte des attributs POSIX dans le domaine racine de la forêt, le script d'installation de la confiance sélectionne la plage d'ID Active Directory domain with POSIX attributes et suppose que les UID et les GID sont correctement définis dans AD. Si les attributs POSIX ne sont pas correctement définis dans AD, vous ne pourrez pas résoudre les utilisateurs AD.

Par exemple, si les utilisateurs et les groupes qui ont besoin d'accéder aux systèmes IdM ne font pas partie du domaine racine de la forêt, mais sont plutôt situés dans un domaine enfant du domaine de la forêt, le script d'installation peut ne pas détecter les attributs POSIX définis dans le domaine AD enfant. Dans ce cas, Red Hat vous recommande de choisir explicitement le type de plage d'ID POSIX lors de l'établissement de la confiance.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.