第 13 章 管理用户和组
13.1. IdM 中的用户和组如何工作
13.1.1. 用户和组是什么
用户组是一组具有常见特权、密码策略和其他特征的用户。
主机组是一组具有常见访问控制规则和其他特征的 IdM 主机。
例如,您可以定义公司部门、物理位置或访问控制需求的组。
13.1.2. 支持的组成员
IdM 中的用户组可以包括:
- IdM 用户
- 其他 IdM 用户组
- 外部用户,它们是 IdM 外部存在的用户
IdM 中的主机组可以包括:
- IdM 服务器和客户端
- 其他 IdM 主机组
13.1.3. 直接和间接组成员
IdM 中的用户和组属性同时应用到直接成员和间接成员:当组 B 是组 A 的成员时,组 B 中的所有用户都将被视为组 A 的成员。
例如,在 图 13.1 “直接和间接组成员身份” 中:
- 用户 1 和用户 2 是组 A 的直接成员。
- 用户 3、用户 4 和用户 5 是组 A 的间接成员。
图 13.1. 直接和间接组成员身份
如果您为用户组 A 设置密码策略,该策略也会应用到用户组 B 中的所有用户。
例 13.1. 查看直接组成员和间接组成员
- 添加:
- 一个用户作为
group_A
的成员 - 另一个用户作为
group_B
的成员 group_
b 作为group_A
的成员
- 在 Web UI 中:选择
。在左侧的侧边栏中列出的单独组类型,选择 ,然后单击 group_A
的名称。在 Direct Membership 和 Indirect Membership 之间切换。 - 在命令行中:使用 ipa group-show 命令:
$ ipa group-show group_A ... Member users: user_1 Member groups: group_B Indirect Member users: user_2
间接成员列表不包括来自可信活动目录域的外部用户。Active Directory 信任用户对象在 IdM 界面中不可见,因为它们不作为 IdM 中的 LDAP 对象存在。
13.1.4. IdM 中的用户组类型
- POSIX 组(默认)
- POSIX 组支持其成员的 POSIX 属性。请注意,与 Active Directory 交互的组无法使用 POSIX 属性。
- 非 POSIX 组
- 这种类型的组的所有组成员都必须属于 IdM 域。
- 外部组
- 外部组允许添加存在于 IdM 域外的身份存储中的组成员。外部存储可以是本地系统、Active Directory 域或目录服务。
非 POSIX 和外部组不支持 POSIX 属性。例如,这些组没有定义 GID。
例 13.2. 搜索不同的用户组群类型
- 运行 ipa group-find 命令来显示所有用户组。
- 运行 ipa group-find --posix 命令来显示所有 POSIX 组。
- 运行 ipa group-find --nonposix 命令来显示所有非 POSIX 组。
- 运行 ipa group-find --external 命令来显示所有外部组。
13.1.5. 默认创建的用户和组
组名称 | 用户或主机 | 默认组成员 |
---|---|---|
ipausers | 用户组 | 所有 IdM 用户 |
admins | 用户组 | 具有管理特权的用户,最初是默认的 admin 用户 |
editors | 用户组 | 用户允许在 Web UI 中编辑其他 IdM 用户,而无需管理员用户的所有权限 |
trust admins | 用户组 | 具有管理 Active Directory 信任的特权用户 |
ipaservers | 主机组 | 所有 IdM 服务器主机 |
将用户添加到用户组应用与组关联的特权和策略。例如,将用户添加到
admins
组会授予用户管理特权。
警告
不要删除
admins
组。由于 admins
是 IdM 要求的预定义组,因此此操作会导致某些命令出现问题。
警告
将主机添加到
ipaservers
主机组时要小心。ipaservers
中的所有主机都能够将其自身提升到 IdM 服务器。
另外,当在 IdM 中创建新用户时,IdM 默认会创建用户私有组。
- 用户专用组的名称与为其创建的用户的名称相同。
- 用户是用户专用组的唯一成员。
- 专用组的 GID 与用户的 UID 相匹配。
例 13.3. 查看用户专用组
运行 ipa group-find --private 命令来显示所有用户私有组:
$ ipa group-find --private ---------------- 2 groups matched ---------------- Group name: user1 Description: User private group for user1 GID: 830400006 Group name: user2 Description: User private group for user2 GID: 830400004 ---------------------------- Number of entries returned 2 ----------------------------
在某些情况下,最好避免创建用户专用组,例如 NIS 组或其他系统组已使用分配给用户专用组的 GID。请参阅 第 13.4 节 “禁用用户专用组”。