红帽全球峰会第 11 章 管理用户帐户
本章涵盖了用户帐户的一般管理和配置。
11.1. 设置用户主目录
建议每个用户都配置了主目录。用户主目录的默认预期位置位于
/home/ 目录中。例如,IdM 需要具有 user_login 登录的用户在 /home/user_login 中设置主目录。
注意
您可以使用 ipa config-mod 命令更改用户主目录的默认预期位置。
IdM 不会自动为用户创建主目录。但是,您可以配置 PAM 主目录模块,以在用户登录时自动创建主目录。或者,您可以使用 NFS 共享和
automount 工具手动添加主目录。
11.1.1. 使用 PAM 主目录模块自动挂载主目录
支持的 PAM 主目录模块
要将 PAM 主目录模块配置为在用户登录 IdM 域时自动为用户创建主目录,请使用以下 PAM 模块之一:
pam_oddjob_mkhomedirpam_mkhomedir
IdM 首先尝试使用
pam_oddjob_mkhomedir。如果没有安装此模块,IdM 会尝试改为使用 pam_mkhomedir。
注意
不支持为 NFS 共享中的新用户自动创建主目录。
配置 PAM 主目录模块
启用 PAM 主目录模块具有本地效果。因此,您必须在需要的每个客户端和服务器中单独启用该模块。
要在服务器或客户端安装过程中配置模块,在安装机器时使用带有
ipa-server-install 或 ipa-client-install 工具的 --mkhomedir 选项。
要在已安装的服务器或客户端上配置模块,请使用
authconfig 工具。例如:
# authconfig --enablemkhomedir --update
有关使用
authconfig 创建主目录的更多信息,请参阅 系统级身份验证指南。
11.1.2. 手动挂载主目录
您可以使用 NFS 文件服务器提供一个
/home/ 目录,供 IdM 域中的所有机器使用,然后使用 automount 工具将目录挂载到 IdM 计算机上。
使用 NFS 时的潜在问题
使用 NFS 可能会对性能和安全性造成负面影响。例如,使用 NFS 可能会导致安全问题为 NFS 用户授予 root 访问权限、加载整个
/home/ 目录树的性能问题,或者为主目录使用远程服务器的网络性能问题。
为降低这些问题的影响,建议遵循以下准则:
- 使用
automount仅挂载用户的主目录,并且仅在用户登录时挂载。不要使用它来加载整个/home/树。 - 使用有限权限的远程用户创建主目录,并以此用户身份在 IdM 服务器上挂载共享。由于 IdM 服务器作为
httpd进程运行,因此可以使用sudo或类似的程序授予 IdM 服务器的有限访问权限,以便在 NFS 服务器上创建主目录。
使用 NFS 和 自动挂载配置主目录
使用 NFS 共享和
自动挂载从独立位置手动将主目录添加到 IdM 服务器中 :
- 为用户目录映射创建一个新位置。
$ ipa automountlocation-add userdirs Location: userdirs
- 添加直接映射到新位置的
auto.direct文件。auto.direct文件是由ipa-server-install工具自动创建的自动挂载映射。在以下示例中,挂载点为/share:$ ipa automountkey-add userdirs auto.direct --key=/share --info="-ro,soft, server.example.com:/home/share" Key: /share Mount information: -ro,soft, server.example.com:/home/share
有关在 IdM 中使用
自动挂载 的详情,请参考 第 34 章 使用自动挂载。
