第 88 章 配置域名解析顺序来解析较短的 AD 用户名
默认情况下,您必须指定格式为 user_name@domain.com
或 domain.com\user_name 的
完全限定名称,以便从 Active Directory(AD)环境中解析和验证用户和组。以下小节描述了如何配置 IdM 服务器和客户端来解析简短的 AD 用户名和组名称。
88.1. 域解析顺序的工作方式
在具有 Active Directory(AD)信任的 Identity Management(IdM)环境中,红帽建议您通过指定完全限定名称来解析和验证用户和组。例如:
-
<idm_username>@idm.example.com
适用于idm.example.com
域中的 IdM 用户 -
用于
ad.example.com
域的 AD 用户的<ad_username>@ad.example.com
默认情况下,如果您使用 简短名称 格式执行用户和组查找,如 ad_username
,IdM 只会搜索 IdM 域,且无法找到 AD 用户和组。要使用短名称解析 AD 用户或组,请通过设置域 解析顺序选项来更改 IdM 搜索多个域的顺序
。
您可以在 IdM 数据库或单个客户端的 SSSD 配置中设置域解析顺序。IdM 按照以下优先级顺序评估域解析顺序:
-
本地
/etc/sssd/sssd.conf 配置.
- ID 视图配置。
- 全局 IdM 配置。
备注
-
如果主机上的 SSSD 配置包含
default_domain_suffix
选项,并且您想要向未使用这个选项指定的域发出请求,则必须使用完全限定用户名。 -
如果您使用
域解析顺序
选项并查询compat
树,您可能会收到多个用户 ID(UID)。如果这可能会影响您,请参阅 设置域解析顺序时 AD 用户的 Pagure 错误报告 Inconsistent compat 用户对象。
重要
不要在 IdM 客户端或 IdM 服务器中使用 full_name_format
SSSD 选项。为这个选项使用非默认值会更改用户名的显示方式,并可能会破坏 IdM 环境中的查找。
其它资源