36.7. 添加 ID 视图来覆盖 IdM 客户端上的 IdM 用户主目录

流程

1. 在 IdM 客户端上，创建您希望 idm_user 用作用户主目录的目录：

   # mkdir /home/user_1234/

2. 在 IdM 客户端上，更改目录的所有权：

   # chown idm_user:idm_user /home/user_1234/

3. 在 IdM 服务器上，创建一个 ID 视图。例如，要创建一个名为 example_for_client1 的 ID 视图：

   $ ipa idview-add example_for_client1
   ---------------------------
   Added ID View "example_for_client1"
   ---------------------------
     ID View Name: example_for_client1

4. 在 IdM 服务器上，在 example_for_client1 ID 视图中添加用户覆盖。覆盖用户主目录：

   • 输入 ipa idoverrideuser-add 命令
   • 添加 ID 视图的名称
   • 添加用户名，也称为锚
   • 添加 --homedir 选项：

   $ ipa idoverrideuser-add example_for_client1 idm_user --homedir=/home/user_1234
   -----------------------------
   Added User ID override "idm_user"
   -----------------------------
     Anchor to override: idm_user
     Home directory: /home/user_1234/

5. 在 IdM 服务器上，将 example_for_client1 应用到 client1.idm.example.com 主机：

   $ ipa idview-apply example_for_client1 --hosts=client1.idm.example.com
   -----------------------------
   Applied ID View "example_for_client1"
   -----------------------------
   hosts: client1.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 1
   ---------------------------------------------

   注意

   ipa idview-apply 命令也接受 --hostgroups 选项。选项将 ID 视图应用到属于指定主机组的主机，但不会将 ID 视图与主机组本身相关联。相反，--hostgroups 选项会展开指定主机组的成员，并将 --hosts 选项分别应用到其中的每一个成员。

   这意味着，如果以后将主机添加到主机组中，则 ID 视图不会应用到新主机。

6. 要将新配置立即应用到 IdM 客户端系统：

   1. 以 root 身份通过 SSH 连接到 IdM 客户端系统：

      $ ssh root@client1
      Password:

   2. 在 IdM 客户端上，清除 SSSD 缓存：

      # sss_cache -E

   3. 在 IdM 客户端上，重启 SSSD 守护进程：

   # systemctl restart sssd

验证

1. 以 idm_user 身份通过 SSH 连接到 IdM 客户端系统：

   # ssh idm_user@client1.idm.example.com
   Password:
   Activate the web console with: systemctl enable --now cockpit.socket
   
   Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
   [idm_user@client1 /]$

2. 打印工作目录：

   $ pwd
   /home/user_1234/