第 8 章 在 Active Directory 环境中使用 ID 视图
通过 ID 视图,您可以为 POSIX 用户或组属性指定新值,并定义要在其上应用新值的客户端或主机。
身份管理(IdM)以外的集成系统有时会根据与 IdM 中使用的算法不同的算法生成 UID 和 GID 值。通过覆盖之前生成的值使其与 IdM 中使用的值兼容,曾作为另一个集成系统的客户端可以完全与 IdM 集成。
注意
本章仅介绍与 Active Directory(AD)相关的 ID 视图功能。有关 ID 视图的常规信息,请参阅 Linux 域身份、身份验证和策略指南。
您可以在 AD 环境中使用 ID 视图来满足以下目的:
- 覆盖 AD 用户属性,如 POSIX 属性或 SSH 登录详情
- 从同步迁移到基于信任的集成
- 执行每个主机组覆盖 IdM 用户属性
- 详情请查看 第 8.4 节 “将 NIS 域迁移到 IdM”。
8.1. Active Directory 默认信任视图
8.1.1. 默认信任视图
Default Trust View 是默认 ID 视图,始终应用到基于信任的设置中的 AD 用户和组。当您使用
ipa-adtrust-install 建立信任且无法删除时
,它会自动创建。
使用 Default Trust View,您可以为 AD 用户和组定义自定义 POSIX 属性,从而覆盖 AD 中定义的值。
AD 中的值 | 默认信任视图 | 结果 | ||
---|---|---|---|---|
login | ad_user | ad_user | | ad_user |
UID | 111 | 222 | | 222 |
GID | 111 | (无值) | | 111 |
注意
Default Trust View 仅接受 AD 用户和组的覆盖,而不接受 IdM 用户和组的覆盖。它适用于 IdM 服务器和客户端,因此只需要为 ActiveActive Directorynbsp;Directory 用户和组提供覆盖。
8.1.2. 使用其他 ID 视图覆盖默认信任视图
如果另一个应用到主机的 ID 视图覆盖 Default Trust View 中的属性值,IdM 将在 Default Trust View 之上应用特定于主机的 ID 视图中的值。
- 如果在特定于主机的 ID 视图中定义了属性,IdM 将应用此视图中的值。
- 如果在特定于主机的 ID 视图中未定义属性,IdM 将应用 Default Trust View 中的值。
默认信任视图始终应用到 IdM 服务器和副本,以及 AD 用户和组。您无法为他们分配不同的 ID 视图:它们始终应用 Default Trust View 中的值。
AD 中的值 | 默认信任视图 | 主机特定视图 | 结果 | ||
---|---|---|---|---|---|
login | ad_user | ad_user | (无值) | | ad_user |
UID | 111 | 222 | 333 | | 333 |
GID | 111 | (无值) | 333 | | 333 |
8.1.3. 基于客户端版本的 ID 覆盖
IdM 主控机始终从 Default Trust View 应用 ID 覆盖,无论 IdM 客户端如何检索值:使用 SSSD 或使用 Schema 兼容性树请求。
但是,特定于主机的 ID 视图中的 ID 覆盖的可用性有限:
- 旧客户端:RHEL 6.3 及更早版本(SSSD 1.8 及更早版本)
- 客户端可以请求应用特定的 ID 视图。要在传统客户端上使用特定于主机的 ID 视图,请将客户端上的基本 DN
更改为:cn=id_view_name,cn=views,cn=compat,dc=example,dc=com.
- RHEL 6.4 到 7.0(SSSD 1.9 到 1.11)
- 不支持客户端上的特定于主机的 ID 视图。
- RHEL 7.1 及更高版本(SSSD 1.12 及更高版本)
- 完全支持.