23.5. Usando uma visão ID para substituir o nome de login de um usuário IdM em um host específico
Esta seção descreve como criar uma visão ID para um cliente específico de Gerenciamento de Identidade (IdM) que sobrepõe um valor de atributo POSIX associado a um usuário específico de IdM. O procedimento usa o exemplo de uma visualização de ID que permite que um usuário IdM chamado idm_user faça o login em um cliente IdM chamado host1 usando o nome de login user_1234.
Pré-requisitos
- Você está conectado como um usuário com os privilégios necessários, por exemplo admin.
Procedimento
Criar uma nova visão de identificação. Por exemplo, para criar uma visualização de identificação chamada
example_for_host1
:$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1
Adicione uma substituição de usuário à visualização de ID example_for_host1. Para anular o login do usuário:
-
Digite o comando
ipa idoverrideuser-add
- Adicionar o nome da vista de identificação
- Adicionar o nome do usuário, também chamado de âncora
Adicione a opção
--login
:$ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234 ----------------------------- Added User ID override "idm_user" ----------------------------- Anchor to override: idm_user User login: user_1234
Para obter uma lista das opções disponíveis, execute ipa idoverrideuser-add --help.
NotaO comando
ipa idoverrideuser-add --certificate
substitui todos os certificados existentes para a conta na visualização de ID especificada. Para anexar um certificado adicional, use o comandoipa idoverrideuser-add-cert
em seu lugar:$ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."
-
Digite o comando
-
Opcional: Usando o comando
ipa idoverrideuser-mod
, você pode especificar novos valores de atributos para uma substituição de usuário existente. Aplique
example_for_host1
para o anfitriãohost1.idm.example.com
:$ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
NotaO comando
ipa idview-apply
também aceita a opção--hostgroups
. A opção aplica a visão ID aos anfitriões que pertencem ao grupo anfitrião especificado, mas não associa a visão ID com o próprio grupo anfitrião. Em vez disso, a opção--hostgroups
expande os membros do grupo anfitrião especificado e aplica a opção--hosts
individualmente a cada um deles.Isto significa que se um anfitrião for adicionado ao grupo anfitrião no futuro, a visão de identificação não se aplica ao novo anfitrião.
Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:
SSH para o sistema como raiz:
$ ssh root@host1 Password:
Limpar o cache SSSD:
root@host1 ~]# sss_cache -E
- Reinicie o daemon SSSD:
root@host1 ~]# systemctl restart sssd
Etapas de verificação
Se você tem as credenciais do user_1234, você pode usá-las para fazer o login no IdM em host1:
SSH para host1 usando user_1234 como o nome de login:
[root@r8server ~]# ssh user_1234@host1.idm.example.com Password: Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229 [user_1234@host1 ~]$
Exibir o diretório de trabalho:
[user_1234@host1 ~]$ pwd /home/idm_user/
Alternativamente, se você tiver credenciais de root em host1, você pode usá-las para verificar a saída do comando
id
para idm_user e user_1234:[root@host1 ~]# id idm_user uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user) [root@host1 ~]# user_1234 uid=779800003(user_1234) gid=779800003(idm_user) groups=779800003(idm_user)