7.6. Options de mappage automatique des groupes privés pour les utilisateurs AD : Fiducies POSIX
Dans un environnement Linux, chaque utilisateur dispose d'un groupe d'utilisateurs principal. Red Hat Enterprise Linux (RHEL) utilise un schéma de groupe privé d'utilisateurs (UPG) : un UPG porte le même nom que l'utilisateur pour lequel il a été créé et cet utilisateur est le seul membre de l'UPG.
Si vous avez attribué des UID à vos utilisateurs AD, mais que les GID n'ont pas été ajoutés, vous pouvez configurer SSSD pour qu'il crée automatiquement des groupes privés pour les utilisateurs en fonction de leur UID en ajustant le paramètre auto_private_groups pour cette plage d'ID.
Par défaut, l'option auto_private_groups est définie sur false pour les plages d'ID ipa-ad-trust-posix
utilisées dans une confiance POSIX. Avec cette configuration, SSSD récupère les adresses uidNumber
et gidNumber
de chaque entrée d'utilisateur AD.
- auto_private_groups = false
SSSD attribue la valeur
uidNumber
à l'UID de l'utilisateur et la valeurgidNumber
au GID de l'utilisateur. Un groupe avec ce GID doit exister dans AD, sinon vous ne pourrez pas résoudre cet utilisateur. Le tableau suivant indique si vous pourrez résoudre les utilisateurs AD en fonction des différentes configurations AD.Tableau 7.2. Comportement de SSSD lorsque la variable auto_private_groups est définie sur false pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id username
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
n'est pas défini -
Aucun groupe dans AD avec
gidNumber
= 4000.
SSSD ne peut pas résoudre l'utilisateur.
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
= 4000 -
Aucun groupe dans AD avec
gidNumber
= 4000.
SSSD ne peut pas résoudre l'utilisateur.
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD a un groupe avec
gidNumber
= 4000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(adgroup@ad-domain.com) groups=4000(adgroup@ad-domain.com), …
-
Si un utilisateur AD n'a pas de groupe primaire configuré dans AD, ou si son adresse gidNumber
ne correspond pas à un groupe existant, le serveur IdM n'est pas en mesure de résoudre cet utilisateur correctement car il ne peut pas rechercher tous les groupes auxquels l'utilisateur appartient. Pour contourner ce problème, vous pouvez activer le mappage automatique des groupes privés dans SSSD en définissant l'option auto_private_groups
sur true
ou hybrid
:
auto_private_groups = true
SSSD crée toujours un groupe privé dont l'adresse
gidNumber
correspond à l'adresseuidNumber
de l'entrée de l'utilisateur AD.Tableau 7.3. Comportement de SSSD lorsque la variable auto_private_groups est définie sur true pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id username
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
n'est pas défini - AD n'a pas de groupe avec GID=4000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD n'a pas de groupe avec
gidNumber
= 5000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD n'a pas de groupe avec
gidNumber
= 4000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …
L'entrée utilisateur AD a :
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD a un groupe avec
gidNumber
= 5000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …
-
auto_private_groups = hybrid
Si la valeur
uidNumber
correspond àgidNumber
, mais qu'il n'y a pas de groupe avec cette valeurgidNumber
, SSSD affecte un groupe privé comme groupe d'utilisateurs principal de l'utilisateur avec une valeurgidNumber
qui correspond àuidNumber
. Si les valeursuidNumber
etgidNumber
diffèrent, et qu'il y a un groupe avec cette valeurgidNumber
, SSSD utilise la valeur degidNumber
.Tableau 7.4. Comportement de SSSD lorsque la variable auto_private_groups est définie sur hybrid pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id username
Entrée utilisateur AD avec :
-
uidNumber
= 4000 -
gidNumber
n'est pas défini -
AD n'a pas de groupe avec
gidNumber
= 4000.
SSSD ne peut pas résoudre l'utilisateur.
Entrée utilisateur AD avec :
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD n'a pas de groupe avec
gidNumber
= 5000.
SSSD ne peut pas résoudre l'utilisateur.
Entrée utilisateur AD avec :
-
uidNumber
= 4000 -
gidNumber
= 4000 -
AD n'a pas de groupe avec
gidNumber
= 4000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …
Entrée utilisateur AD avec :
-
uidNumber
= 4000 -
gidNumber
= 5000 -
AD a un groupe avec
gidNumber
= 5000.
# id aduser@AD-DOMAIN.COM
uid=4000(aduser@ad-domain.com) gid=5000(aduser@ad-domain.com) groups=5000(adgroup@ad-domain.com), …
-