第 49 章配置域解析顺序来解析简短的 AD 用户名

默认情况下，您必须以 user_name@domain.com 或 domain.com\user_name 格式指定完全限定域名，以便从 Active Directory(AD)环境中解析和验证用户和组。以下小节介绍了如何配置 IdM 服务器和客户端来解析简短的 AD 用户名和组名称。

49.1. 域解析顺序的工作方式
复制链接

在带有 Active Directory (AD) 信任的身份管理 (IdM) 环境中，红帽建议您通过指定完全限定名称来解析和验证用户和组。例如：

默认情况下，如果您使用 短名称 格式执行用户或组查找，如 ad_username，IdM 仅搜索 IdM 域，且无法找到 AD 用户或组。要使用短名称解析 AD 用户或组，请通过设置 domain resolution order 选项来更改 IdM 搜索多个域的顺序。

您可以在 IdM 数据库或单个客户端的 SSSD 配置中集中设置域解析顺序。IdM 按以下优先级顺序评估域解析顺序：

备注

如果主机上的 SSSD 配置包含 default_domain_suffix 选项，且您想要向不使用此选项指定的域发出请求，则必须使用完全限定的用户名。
如果您使用 domain resolution order 选项并查询 compat 树，您可能会收到多个用户 ID(UID)。如果这可能会影响您，请参阅当域解析顺序设置了 AD 用户的 Pagure bug report Inconsistent compat user 对象。

重要

不要在 IdM 客户端或 IdM 服务器中使用 full_name_format SSSD 选项。对此选项使用非默认值会改变如何显示用户名，并可能会破坏 IdM 环境中的查找。

返回顶部