7.11. 非 POSIX 外部组和 SID 映射
身份管理 (IdM) 使用 LDAP 管理组.Active Directory (AD) 条目没有同步或复制到 IdM,这意味着 AD 用户和组在 LDAP 服务器中没有 LDAP 对象,因此不能直接用于表达 IdM LDAP 中的组成员资格。因此,IdM 中的管理员需要创建非POSIX 外部组,作为普通 IdM LDAP 对象引用,以标记 IdM 中 AD 用户和组的组成员资格。
非 POSIX 外部组的安全 ID (SID) 由 SSSD 处理,它将 Active Directory 中的组的 SID 映射到 IdM 中的 POSIX 组。在 Active Directory 中,SID 与用户名相关联。当使用 AD 用户名访问 IdM 资源时,SSSD 会使用用户的 SID 为 IdM 域中的用户构建完整的组成员资格信息。