13.3. 添加和删除用户或主机组成员
要将成员添加到用户组中,您可以使用:
- IdM Web UI(请参阅 “Web UI:将成员添加到用户或主机组”一节)
- 命令行(请参见 “命令行:将成员添加到用户组中”一节)
重要
当添加另一个用户组作为成员时,请不要创建递归组。例如,如果组 A 是组 B 的成员,则不要将组 B 添加为组 A 的成员。递归组可能会导致无法预料的行为。
要从用户组群中删除成员,您可以使用:
- IdM Web UI(请参阅 “Web UI:从用户组中删除成员”一节)
- 命令行(请参见 “命令行:从用户组中删除成员”一节)
注意
将成员添加到用户或主机组后,更新可能需要一些时间才能分散到身份管理环境中的所有客户端。这是因为,当任何给定主机解析用户、组或网络组时,
系统安全服务守护进程
(SSSD)首先查看其缓存,并且仅对缺失或过期的记录执行服务器查找。
要查看立即应用到主机组的更改,请使用 cache purge 实用程序
sss_cache
更新主机上的 SSSD
缓存。使用 sss_cache
为主机组使 SSSD
缓存中的当前记录无效,强制 SSSD
缓存从身份提供程序检索更新的记录,以便快速进行更改。
在
SSSD
缓存中清除主机组条目:
# sss_cache -n host_group_name
Web UI:将成员添加到用户或主机组
- 点
,再选择左侧栏中的 或 。 - 单击组的名称。
- 选择您要添加的组成员类型。例如,用户、用户组 或 External (用户组)。
图 13.3. 添加用户组群成员
- 点击。
- 选择您要添加的成员,然后单击确认。
命令行:将成员添加到用户组中
- 可选。使用 ipa group-find 或 ipa hostgroup-find 命令查找组。
- 要将成员添加到用户组,请使用 ipa group-add-member 命令。要将成员添加到主机组,请使用 ipa hostgroup-add-member 命令。添加用户组群成员时,使用以下选项指定成员:
--users
添加 IdM 用户--external
添加一个存在于 IdM 域外的用户,格式为DOMAIN\user_name
或user_name@domain
--groups
添加 IdM 用户组
添加主机组 member 时,使用以下选项指定成员:--hosts
添加 IdM 主机--groups
添加 IdM 主机组
例 13.4. 将成员添加到用户组中的命令示例
将 user1、user2 和 group1 添加到名为 group_name 的组中:$ ipa group-add-member group_name --users=user1 --users=user2 --groups=group1
要将 ad_user 从名为 ad_domain 的域添加到名为 group_name 的组中,您可以选择如何指定外部用户。例如:$ ipa group-add-member group_name --external='AD_DOMAIN\ad_user' $ ipa group-add-member group_name --external='ad_user@AD_DOMAIN' $ ipa group-add-member group_name --external='ad_user@AD_DOMAIN.EXAMPLE.COM'
Web UI:从用户组中删除成员
- 点
,再选择左侧栏中的 或 。 - 单击组的名称。
- 选择您要删除的组成员类型。例如,用户、用户组 或 External (用户组)。
图 13.4. 删除用户组群成员
- 选中所需成员旁边的复选框。
- 单击。
命令行:从用户组中删除成员
- 可选。使用 ipa group-show 或 ipa hostgroup-show 命令确认组是否包含您要删除的成员。
- 要删除用户组成员,请使用 ipa group-remove-member 命令。要删除主机组成员,请使用 ipa hostgroup-remove-member 命令。删除用户组群成员时,使用以下选项指定成员:
--users
删除 IdM 用户--external
删除存在于 IdM 域外的用户,格式为DOMAIN\user_name
或user_name@domain
--groups
删除 IdM 用户组
删除主机组 member 时,使用以下选项指定成员:--hosts
删除 IdM 主机--groups
删除 IdM 主机组
例如,要从名为 group_name 的组中删除 user1、user2 和 group1:$ ipa group-remove-member group_name --users=user1 --users=user2 --groups=group1