15.4. 指定默认用户和组属性
身份管理在创建新条目时使用模板。
对于用户,模板非常具体。身份管理为 IdM 用户帐户使用多个核心属性使用默认值。这些默认值可以定义用户帐户属性的实际值(如主目录位置),也可以定义属性值的格式,如用户名长度。这些设置还定义分配给用户的对象类。
对于组,模板仅定义分配的对象类。
这些默认定义都包含在 IdM 服务器的一个配置条目 cn=ipaconfig,cn=etc,dc=example,dc=com 中。
可以使用 ipa config-mod 命令更改配置。
字段 | 命令行选项 | 描述 |
---|---|---|
最大用户名长度 | --maxusername | 设置用户名的最大字符数。默认值为 32。 |
主目录的根 | --homedirectory | 设置要用于用户主目录的默认目录。默认值为 /home 。 |
默认 shell | --defaultshell | 设置供用户使用的默认 shell.默认值为 /bin/sh 。 |
默认用户组群 | --defaultgroup | 设置为所有新建帐户添加到的默认组。默认值为 ipausers ,它会在 IdM 服务器安装过程中自动创建。 |
默认电子邮件域 | --emaildomain | 将电子邮件地址设置为使用 来基于新帐户创建电子邮件地址。默认为 IdM 服务器域。 |
搜索时间限制 | --searchtimelimit | 在服务器返回结果之前,设置搜索上花费的最大时间(以秒为单位)。 |
搜索大小限制 | --searchrecordslimit | 设置搜索返回的最大记录数. |
用户搜索字段 | --usersearch | 设置用户条目中的字段,可用作搜索字符串。列出的任何属性都有一个用于该属性的索引,因此设置太多属性可能会影响服务器性能。 |
组搜索字段 | --groupsearch | 设置组条目中的字段,可用作搜索字符串。 |
证书主题基础 | 设置在为客户端证书创建主题 DN 时要使用的基本 DN。这是在设置服务器时配置的。 | |
默认用户对象类 | --userobjectclasses | 定义用于创建 IdM 用户帐户的对象类。这可以多次调用。必须提供对象类的完整列表,因为运行 命令时会覆盖该列表。 |
默认组对象类 | --groupobjectclasses | 定义用于创建 IdM 组帐户的对象类。这可以多次调用。必须提供对象类的完整列表,因为运行 命令时会覆盖该列表。 |
密码过期通知 | --pwdexpnotify | 设置服务器发送通知的密码到期前的天数(以天数为单位)。 |
密码插件功能 | 设置用户允许的密码格式。 |
15.4.1. 从 Web UI 查看属性
- 打开 IPA Server 选项卡。
- 选择 Configuration 子选项卡。
- 完整的配置条目在三个部分显示,一个用于所有搜索限制,一个用于用户模板,另一个用于组模板。
图 15.4. 设置搜索限制
图 15.5. 用户属性
图 15.6. 组属性
15.4.2. 从命令行查看属性
config-show 命令显示适用于所有新用户帐户的当前配置。默认情况下,仅显示最常见的属性;使用
--all
选项显示完整的配置。
[bjensen@server ~]$ kinit admin [bjensen@server ~]$ ipa config-show --all dn: cn=ipaConfig,cn=etc,dc=example,dc=com Maximum username length: 32 Home directory base: /home Default shell: /bin/sh Default users group: ipausers Default e-mail domain: example.com Search time limit: 2 Search size limit: 100 User search fields: uid,givenname,sn,telephonenumber,ou,title Group search fields: cn,description Enable migration mode: FALSE Certificate Subject base: O=EXAMPLE.COM Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser Password Expiration Notification (days): 4 Password plugin features: AllowNThash SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 Default SELinux user: unconfined_u:s0-s0:c0.c1023 Default PAC types: MS-PAC, nfs:NONE cn: ipaConfig objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject