7.5. POSIX et mappage d'ID Types de plages d'ID pour les utilisateurs AD
La gestion des identités (IdM) applique des règles de contrôle d'accès basées sur l'ID utilisateur POSIX (UID) et l'ID de groupe (GID) d'un utilisateur. Les utilisateurs d'Active Directory (AD), cependant, sont identifiés par des identifiants de sécurité (SID). Les administrateurs AD peuvent configurer AD pour stocker des attributs POSIX pour vos utilisateurs et groupes AD, tels que uidNumber
, gidNumber
, unixHomeDirectory
, ou loginShell
.
Vous pouvez configurer une confiance inter-forêts pour référencer ces informations en établissant une confiance avec la plage d'ID ipa-ad-trust-posix
:
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust-posix
Si vous ne stockez pas d'attributs POSIX dans AD, le System Security Services Daemon (SSSD) peut mapper de manière cohérente un UID unique basé sur le SID d'un utilisateur dans un processus appelé ID mapping. Vous pouvez explicitement choisir ce comportement en créant une confiance avec la plage d'ID ipa-ad-trust
:
[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password --range-type=ipa-ad-trust
Si vous ne spécifiez pas un type de plage d'identifiants lors de la création d'une fiducie, l'IdM tente de sélectionner automatiquement le type de plage approprié en demandant des détails aux contrôleurs de domaine AD dans le domaine racine de la forêt. Si l'IdM ne détecte aucun attribut POSIX, le script d'installation du trust sélectionne la plage d'identifiants Active Directory domain
.
Si IdM détecte des attributs POSIX dans le domaine racine de la forêt, le script d'installation de la confiance sélectionne la plage d'ID Active Directory domain with POSIX attributes
et suppose que les UID et les GID sont correctement définis dans AD. Si les attributs POSIX ne sont pas correctement définis dans AD, vous ne pourrez pas résoudre les utilisateurs AD.
Par exemple, si les utilisateurs et les groupes qui ont besoin d'accéder aux systèmes IdM ne font pas partie du domaine racine de la forêt, mais sont plutôt situés dans un domaine enfant du domaine de la forêt, le script d'installation peut ne pas détecter les attributs POSIX définis dans le domaine AD enfant. Dans ce cas, Red Hat vous recommande de choisir explicitement le type de plage d'ID POSIX lors de l'établissement de la confiance.
Ressources supplémentaires