53.2. 使用 ID 覆盖来启用 AD 用户管理 IdM
按照以下流程,为 AD 用户创建和使用 ID 覆盖,以给该用户授予与 IdM 用户相同的权利。在此过程中,在配置为信任控制器或信任代理的 IdM 服务器上工作。
先决条件
- 设定了一个正常工作的 IdM 环境。详情请参阅 安装身份管理。
- 设置 IdM 环境和 AD 之间的工作信任。
流程
作为 IdM 管理员,在 Default Trust View 中为 AD 用户创建一个 ID 覆盖。例如,要为用户
ad_user@ad.example.com
创建一个 ID 覆盖:# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
添加 Default Trust View 中的 ID 覆盖作为 IdM 组的成员。这必须是非 POSIX 组,因为它与活动目录进行交互。
如果问题中的组是 IdM 角色的成员,则 ID 覆盖代表的 AD 用户在使用 IdM API 时获得角色授予的所有权限,包括命令行界面和 IdM Web UI。
例如,要将
ad_user@ad.example.com
用户的 ID 覆盖添加到 IdMadmins
组中:# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
或者,您可以向角色添加 ID 覆盖,如 User Administrator 角色:
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com
其他资源