第 39 章 为活动目录用户使用 ID 视图
您可以使用 ID 视图为 IdM-AD Trust 环境中活动目录(AD)用户的 POSIX 属性指定新值。
默认情况下,IdM 对所有 AD 用户应用 Default Trust View 。您可以在单个 IdM 客户端上配置其它 ID 视图,以进一步调整特定用户所收到的 POSIX 属性。
39.1. Default Trust View 是如何工作的
Default Trust View 是默认的 ID 视图,其总是在基于信任的设置被应用于到 AD 用户和组。当您使用 ipa-adtrust-install
命令建立信任时,它会被自动创建,且不能被删除。
Default Trust View 仅接受对 AD 用户和组的覆盖,不接受对 IdM 用户和组的覆盖。
使用 Default Trust View,您可以为 AD 用户和组定义自定义 POSIX 属性,从而覆盖 AD 中定义的值。
AD 中的值 | 默认信任视图 | 结果 | |
---|---|---|---|
登录 | ad_user | ad_user | ad_user |
UID | 111 | 222 | 222 |
GID | 111 | (无值) | 111 |
您还可以配置其它 ID 视图来覆盖 IdM 客户端上的 Default Trust View。IdM 在 Default Trust View 顶部应用特定于主机的 ID 视图中的值:
- 如果特定于主机的 ID 视图中定义了一个属性,则 IdM 会应用此 ID 视图中的值。
- 如果在特定于主机的 ID 视图中未定义一个属性,则 IdM 会应用 Default Trust View 中的值。
AD 中的值 | 默认信任视图 | 特定主机的 ID 视图 | 结果 | |
---|---|---|---|---|
登录 | ad_user | ad_user | (无值) | ad_user |
UID | 111 | 222 | 333 | 333 |
GID | 111 | (无值) | 333 | 333 |
您只能应用特定于主机的 ID 视图来覆盖 IdM 客户端上的 Default Trust View。IdM 服务器和副本总是应用 Default Trust View 中的值。