Capítulo 23. Usando uma visualização ID para anular um valor de atributo de usuário em um cliente IdM
Se um usuário de Gerenciamento de Identidade (IdM) desejar substituir alguns de seus atributos de usuário ou grupo armazenados no servidor LDAP do IdM, por exemplo o nome de login, diretório home, certificado usado para autenticação, ou chaves SSH
, você como administrador do IdM pode redefinir estes valores para um cliente IdM específico, usando vistas ID do IdM. Por exemplo, você pode especificar um diretório home diferente para um usuário no cliente IdM que o usuário mais comumente usa para fazer o login no IdM.
Este capítulo descreve como redefinir um valor de atributo POSIX associado a um usuário IdM em um host inscrito na IdM como cliente. Especificamente, o capítulo descreve como redefinir o nome de login do usuário e o diretório home.
Este capítulo inclui as seguintes seções:
- Vistas de identificação
- Potencial impacto negativo das visões de identificação no desempenho da SSSD
- Atributos que uma vista de identificação pode anular
- Obtendo ajuda para os comandos de visualização de identificação
- Usando uma visão ID para substituir o nome de login de um usuário IdM em um host específico
- Modificando uma visão de ID de IdM
- Adicionando uma visualização ID para substituir um diretório pessoal de usuário IdM em um cliente IdM
- Aplicando uma visão de identificação a um grupo anfitrião da IdM
23.1. Vistas de identificação
Uma visão ID em Gerenciamento de Identidade (IdM) é uma visão do lado do cliente da IdM especificando as seguintes informações:
- Novos valores para atributos de usuário ou grupo POSIX definidos centralmente
- O cliente anfitrião ou anfitriões sobre os quais se aplicam os novos valores.
Uma vista de identificação contém uma ou mais sobreposições. Uma sobreposição é uma substituição específica de um valor de atributo POSIX definido centralmente.
Você só pode definir uma visualização de ID para um cliente IdM centralmente nos servidores IdM. Não é possível configurar localmente as sobreposições do lado do cliente para um cliente IdM.
Por exemplo, você pode usar visões de identificação para alcançar os seguintes objetivos:
-
Definir diferentes valores de atributos para diferentes ambientes. Por exemplo, você pode permitir que o administrador do IdM ou outro usuário IdM tenha diferentes diretórios home em diferentes clientes IdM: você pode configurar
/home/encrypted/username
para ser o diretório home deste usuário em um cliente IdM e/dropbox/username
em outro cliente. O uso de visões ID nesta situação é conveniente, pois alternativamente, por exemplo, alterarfallback_homedir
,override_homedir
ou outras variáveis do diretório home no arquivo/etc/sssd/sssd.conf
do cliente afetaria todos os usuários. Veja Adicionando uma visualização ID para substituir um diretório home de usuário IdM em um cliente IdM para um procedimento de exemplo. - Substituir um valor de atributo gerado anteriormente por um valor diferente, tal como anular o UID de um usuário. Esta capacidade pode ser útil quando se deseja alcançar uma mudança em todo o sistema que de outra forma seria difícil de fazer no lado do LDAP, por exemplo, fazer do 1009 o UID de um usuário IdM. As faixas de ID do IdM, que são usadas para gerar um UID de usuário IdM, nunca começam tão baixo quanto 1000 ou mesmo 10000. Se existe uma razão para um usuário IdM fazer-se passar por um usuário local com UID 1009 em todos os clientes IdM, você pode usar vistas de ID para substituir o UID deste usuário IdM que foi gerado quando o usuário foi criado no IdM.
Você só pode aplicar visões de identificação a clientes IdM, não a servidores IdM.
Recursos adicionais
- Você também pode usar vistas de identificação em ambientes que envolvam o Active Directory (AD). Para detalhes, consulte o capítulo Vistas de ID e Migração de Ambientes Existentes para Confiança no Windows integration guide.
- Você também pode configurar visões de identificação para hosts que não fazem parte de um domínio de gerenciamento centralizado de identidade. Para detalhes, consulte o capítulo Vistas do lado do cliente SSSD no System-level authentication guide.