7.7. Options de mappage automatique des groupes privés pour les utilisateurs AD : Fiducies de mappage d'ID
Dans un environnement Linux, chaque utilisateur dispose d'un groupe d'utilisateurs principal. Red Hat Enterprise Linux (RHEL) utilise un schéma de groupe privé d'utilisateurs (UPG) : un UPG porte le même nom que l'utilisateur pour lequel il a été créé et cet utilisateur est le seul membre de l'UPG.
Si vous avez attribué des UID à vos utilisateurs AD, mais que les GID n'ont pas été ajoutés, vous pouvez configurer SSSD pour qu'il crée automatiquement des groupes privés pour les utilisateurs en fonction de leur UID en ajustant le paramètre auto_private_groups pour cette plage d'ID.
Par défaut, l'option auto_private_groups
est définie sur true
pour les plages d'identifiants ipa-ad-trust
utilisées dans une confiance de mappage d'identifiants. Avec cette configuration, SSSD calcule l'UID et le GID d'un utilisateur AD en fonction de son identifiant de sécurité (SID). SSSD ignore tous les attributs POSIX dans AD, tels que uidNumber
, gidNumber
, et ignore également l'option primaryGroupID
.
auto_private_groups = true
SSSD crée toujours un groupe privé dont le GID correspond à l'UID, qui est basé sur le SID de l'utilisateur AD.
Tableau 7.5. Comportement de SSSD lorsque la variable auto_private_groups est définie sur true pour une plage d'ID mapping Configuration des utilisateurs dans AD Sortie de id username
Entrée utilisateur AD où :
- Le SID correspond à 7000
-
primaryGroupID
cartes jusqu'à 8000
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=7000(aduser@ad-domain.com) groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …
auto_private_groups = false
Si vous donnez à l'option
auto_private_groups
la valeurfalse
, SSSD utilise le numéroprimaryGroupID
défini dans l'entrée AD comme numéro GID. La valeur par défaut deprimaryGroupID
correspond au groupeDomain Users
dans AD.Tableau 7.6. Comportement de SSSD lorsque la variable auto_private_groups est définie sur false pour une plage d'ID mapping Configuration des utilisateurs dans AD Sortie de id username
Entrée utilisateur AD où :
- Le SID correspond à 7000
-
primaryGroupID
cartes jusqu'à 8000
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=8000(adgroup@ad-domain.com) groups=8000(adgroup@ad-domain.com), …
Ressources supplémentaires