红帽全球峰会15.4. 指定默认用户和组属性
身份管理在创建新条目时使用模板。
对于用户,模板非常具体。身份管理为 IdM 用户帐户使用多个核心属性使用默认值。这些默认值可以定义用户帐户属性的实际值(如主目录位置),也可以定义属性值的格式,如用户名长度。这些设置还定义分配给用户的对象类。
对于组,模板仅定义分配的对象类。
这些默认定义都包含在 IdM 服务器的一个配置条目 cn=ipaconfig,cn=etc,dc=example,dc=com 中。
可以使用 ipa config-mod 命令更改配置。
| 字段 | 命令行选项 | 描述 |
|---|---|---|
| 最大用户名长度 | --maxusername | 设置用户名的最大字符数。默认值为 32。 |
| 主目录的根 | --homedirectory | 设置要用于用户主目录的默认目录。默认值为 /home。 |
| 默认 shell | --defaultshell | 设置供用户使用的默认 shell.默认值为 /bin/sh。 |
| 默认用户组群 | --defaultgroup | 设置为所有新建帐户添加到的默认组。默认值为 ipausers,它会在 IdM 服务器安装过程中自动创建。 |
| 默认电子邮件域 | --emaildomain | 将电子邮件地址设置为使用 来基于新帐户创建电子邮件地址。默认为 IdM 服务器域。 |
| 搜索时间限制 | --searchtimelimit | 在服务器返回结果之前,设置搜索上花费的最大时间(以秒为单位)。 |
| 搜索大小限制 | --searchrecordslimit | 设置搜索返回的最大记录数. |
| 用户搜索字段 | --usersearch | 设置用户条目中的字段,可用作搜索字符串。列出的任何属性都有一个用于该属性的索引,因此设置太多属性可能会影响服务器性能。 |
| 组搜索字段 | --groupsearch | 设置组条目中的字段,可用作搜索字符串。 |
| 证书主题基础 | 设置在为客户端证书创建主题 DN 时要使用的基本 DN。这是在设置服务器时配置的。 | |
| 默认用户对象类 | --userobjectclasses | 定义用于创建 IdM 用户帐户的对象类。这可以多次调用。必须提供对象类的完整列表,因为运行 命令时会覆盖该列表。 |
| 默认组对象类 | --groupobjectclasses | 定义用于创建 IdM 组帐户的对象类。这可以多次调用。必须提供对象类的完整列表,因为运行 命令时会覆盖该列表。 |
| 密码过期通知 | --pwdexpnotify | 设置服务器发送通知的密码到期前的天数(以天数为单位)。 |
| 密码插件功能 | 设置用户允许的密码格式。 |
15.4.1. 从 Web UI 查看属性
复制链接链接已复制到粘贴板!
- 打开 IPA Server 选项卡。
- 选择 Configuration 子选项卡。
- 完整的配置条目在三个部分显示,一个用于所有搜索限制,一个用于用户模板,另一个用于组模板。
图 15.4. 设置搜索限制
图 15.5. 用户属性
图 15.6. 组属性
15.4.2. 从命令行查看属性
复制链接链接已复制到粘贴板!
config-show 命令显示适用于所有新用户帐户的当前配置。默认情况下,仅显示最常见的属性;使用
--all 选项显示完整的配置。
[bjensen@server ~]$ kinit admin
[bjensen@server ~]$ ipa config-show --all
dn: cn=ipaConfig,cn=etc,dc=example,dc=com
Maximum username length: 32
Home directory base: /home
Default shell: /bin/sh
Default users group: ipausers
Default e-mail domain: example.com
Search time limit: 2
Search size limit: 100
User search fields: uid,givenname,sn,telephonenumber,ou,title
Group search fields: cn,description
Enable migration mode: FALSE
Certificate Subject base: O=EXAMPLE.COM
Default group objectclasses: top, groupofnames, nestedgroup, ipausergroup, ipaobject
Default user objectclasses: top, person, organizationalperson, inetorgperson, inetuser, posixaccount, krbprincipalaux, krbticketpolicyaux, ipaobject, ipasshuser
Password Expiration Notification (days): 4
Password plugin features: AllowNThash
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023
Default PAC types: MS-PAC, nfs:NONE
cn: ipaConfig
objectclass: nsContainer, top, ipaGuiConfig, ipaConfigObject
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}