第 8 章 在 Active Directory 环境中使用 ID 视图


通过 ID 视图,您可以为 POSIX 用户或组属性指定新值,并定义要在其上应用新值的客户端或主机。
身份管理(IdM)以外的集成系统有时会根据与 IdM 中使用的算法不同的算法生成 UID 和 GID 值。通过覆盖之前生成的值使其与 IdM 中使用的值兼容,曾作为另一个集成系统的客户端可以完全与 IdM 集成。
注意
本章仅介绍与 Active Directory(AD)相关的 ID 视图功能。有关 ID 视图的常规信息,请参阅 Linux 域身份、身份验证和策略指南
您可以在 AD 环境中使用 ID 视图来满足以下目的:
覆盖 AD 用户属性,如 POSIX 属性或 SSH 登录详情
从同步迁移到基于信任的集成
执行每个主机组覆盖 IdM 用户属性

8.1. Active Directory 默认信任视图

8.1.1. 默认信任视图

Default Trust View 是默认 ID 视图,始终应用到基于信任的设置中的 AD 用户和组。当您使用 ipa-adtrust-install 建立信任且无法删除时,它会自动创建。
使用 Default Trust View,您可以为 AD 用户和组定义自定义 POSIX 属性,从而覆盖 AD 中定义的值。
表 8.1. 应用默认信任视图
AD 中的值 默认信任视图 结果
login ad_user ad_user ad_user
UID 111 222 222
GID 111 (无值) 111
注意
Default Trust View 仅接受 AD 用户和组的覆盖,而不接受 IdM 用户和组的覆盖。它适用于 IdM 服务器和客户端,因此只需要为 ActiveActive Directorynbsp;Directory 用户和组提供覆盖。

8.1.2. 使用其他 ID 视图覆盖默认信任视图

如果另一个应用到主机的 ID 视图覆盖 Default Trust View 中的属性值,IdM 将在 Default Trust View 之上应用特定于主机的 ID 视图中的值。
  • 如果在特定于主机的 ID 视图中定义了属性,IdM 将应用此视图中的值。
  • 如果在特定于主机的 ID 视图中未定义属性,IdM 将应用 Default Trust View 中的值。
默认信任视图始终应用到 IdM 服务器和副本,以及 AD 用户和组。您无法为他们分配不同的 ID 视图:它们始终应用 Default Trust View 中的值。
表 8.2. 在默认信任视图上应用主机特定 ID 视图
AD 中的值 默认信任视图 主机特定视图 结果
login ad_user ad_user (无值) ad_user
UID 111 222 333 333
GID 111 (无值) 333 333

8.1.3. 基于客户端版本的 ID 覆盖

IdM 主控机始终从 Default Trust View 应用 ID 覆盖,无论 IdM 客户端如何检索值:使用 SSSD 或使用 Schema 兼容性树请求。
但是,特定于主机的 ID 视图中的 ID 覆盖的可用性有限:
旧客户端:RHEL 6.3 及更早版本(SSSD 1.8 及更早版本)
客户端可以请求应用特定的 ID 视图。
要在传统客户端上使用特定于主机的 ID 视图,请将客户端上的基本 DN 更改为:cn=id_view_name,cn=views,cn=compat,dc=example,dc=com.
RHEL 6.4 到 7.0(SSSD 1.9 到 1.11)
不支持客户端上的特定于主机的 ID 视图。
RHEL 7.1 及更高版本(SSSD 1.12 及更高版本)
完全支持.
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.