7.6. Options de mappage automatique des groupes privés pour les utilisateurs AD : Fiducies POSIX
Dans un environnement Linux, chaque utilisateur dispose d'un groupe d'utilisateurs principal. Red Hat Enterprise Linux (RHEL) utilise un schéma de groupe privé d'utilisateurs (UPG) : un UPG porte le même nom que l'utilisateur pour lequel il a été créé et cet utilisateur est le seul membre de l'UPG.
Si vous avez attribué des UID à vos utilisateurs AD, mais que les GID n'ont pas été ajoutés, vous pouvez configurer SSSD pour qu'il crée automatiquement des groupes privés pour les utilisateurs en fonction de leur UID en ajustant le paramètre auto_private_groups pour cette plage d'ID.
Par défaut, l'option auto_private_groups est définie sur false pour les plages d'ID ipa-ad-trust-posix utilisées dans une confiance POSIX. Avec cette configuration, SSSD récupère les adresses uidNumber et gidNumber de chaque entrée d'utilisateur AD.
- auto_private_groups = false
SSSD attribue la valeur
uidNumberà l'UID de l'utilisateur et la valeurgidNumberau GID de l'utilisateur. Un groupe avec ce GID doit exister dans AD, sinon vous ne pourrez pas résoudre cet utilisateur. Le tableau suivant indique si vous pourrez résoudre les utilisateurs AD en fonction des différentes configurations AD.Tableau 7.2. Comportement de SSSD lorsque la variable auto_private_groups est définie sur false pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id usernameL'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumbern'est pas défini -
Aucun groupe dans AD avec
gidNumber= 4000.
SSSD ne peut pas résoudre l'utilisateur.
L'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumber= 4000 -
Aucun groupe dans AD avec
gidNumber= 4000.
SSSD ne peut pas résoudre l'utilisateur.
L'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumber= 4000 -
AD a un groupe avec
gidNumber= 4000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(adgroup@ad-domain.com) groups=4000(adgroup@ad-domain.com), …-
Si un utilisateur AD n'a pas de groupe primaire configuré dans AD, ou si son adresse gidNumber ne correspond pas à un groupe existant, le serveur IdM n'est pas en mesure de résoudre cet utilisateur correctement car il ne peut pas rechercher tous les groupes auxquels l'utilisateur appartient. Pour contourner ce problème, vous pouvez activer le mappage automatique des groupes privés dans SSSD en définissant l'option auto_private_groups sur true ou hybrid:
auto_private_groups = trueSSSD crée toujours un groupe privé dont l'adresse
gidNumbercorrespond à l'adresseuidNumberde l'entrée de l'utilisateur AD.Tableau 7.3. Comportement de SSSD lorsque la variable auto_private_groups est définie sur true pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id usernameL'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumbern'est pas défini - AD n'a pas de groupe avec GID=4000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …L'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumber= 5000 -
AD n'a pas de groupe avec
gidNumber= 5000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …L'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumber= 4000 -
AD n'a pas de groupe avec
gidNumber= 4000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …L'entrée utilisateur AD a :
-
uidNumber= 4000 -
gidNumber= 5000 -
AD a un groupe avec
gidNumber= 5000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …-
auto_private_groups = hybridSi la valeur
uidNumbercorrespond àgidNumber, mais qu'il n'y a pas de groupe avec cette valeurgidNumber, SSSD affecte un groupe privé comme groupe d'utilisateurs principal de l'utilisateur avec une valeurgidNumberqui correspond àuidNumber. Si les valeursuidNumberetgidNumberdiffèrent, et qu'il y a un groupe avec cette valeurgidNumber, SSSD utilise la valeur degidNumber.Tableau 7.4. Comportement de SSSD lorsque la variable auto_private_groups est définie sur hybrid pour une plage d'ID POSIX Configuration des utilisateurs dans AD Sortie de id usernameEntrée utilisateur AD avec :
-
uidNumber= 4000 -
gidNumbern'est pas défini -
AD n'a pas de groupe avec
gidNumber= 4000.
SSSD ne peut pas résoudre l'utilisateur.
Entrée utilisateur AD avec :
-
uidNumber= 4000 -
gidNumber= 5000 -
AD n'a pas de groupe avec
gidNumber= 5000.
SSSD ne peut pas résoudre l'utilisateur.
Entrée utilisateur AD avec :
-
uidNumber= 4000 -
gidNumber= 4000 -
AD n'a pas de groupe avec
gidNumber= 4000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=4000(aduser@ad-domain.com) groups=4000(aduser@ad-domain.com), …Entrée utilisateur AD avec :
-
uidNumber= 4000 -
gidNumber= 5000 -
AD a un groupe avec
gidNumber= 5000.
# id aduser@AD-DOMAIN.COMuid=4000(aduser@ad-domain.com) gid=5000(aduser@ad-domain.com) groups=5000(adgroup@ad-domain.com), …-
