8.4. 配置外部用户组

通过外部来源进行身份验证的用户在第一次登录时会自动创建。这不适用于必须映射到在 Satellite GUI 中手动创建的用户组的外部用户组。然后，外部用户组的成员将自动成为 Satellite 用户组的成员，并接收关联的权限。

先决条件

外部用户组的配置取决于外部验证的类型：

如果使用 LDAP 源，请确保正确配置了 LDAP 身份验证。导航到 Administer LDAP Authentication 以查看并修改现有的源。有关如何创建 LDAP 源的步骤，请参考第 8.1 节 “使用 LDAP”。记录下要使用的 LDAP 组名称。
注意
如果您从 LDAP 源使用外部用户组，则无法使用 $login 变量来替代帐户用户名。您需要使用匿名或专用服务用户。
如果您的 Satellite 已注册到 IdM 或 AD 服务器，如第 8 章 配置外部身份验证 所述，请记录您要使用的外部组名称。要查找外部用户的组成员资格，请在 Satellite 上执行 id 命令：
```
id username
```
```
# id username
```
Copy to Clipboard Toggle word wrap
此处，username 是外部组成员的名称。请注意，Satellite 只能在至少一个外部用户第一次进行身份验证后才配置外部组。另外，外部身份验证源中必须至少有一个用户。

过程 8.6. 配置外部用户组：

导航到 Administer User Groups。单击新建用户组。
在 User group 选项卡中，指定新用户组的名称。不要选择任何用户，因为在刷新外部用户组时会自动添加它们。
在 Roles 选项卡中，选择您要分配给用户组的角色。或者，选择 Administrator 复选框来分配所有可用的权限。
在 External groups 选项卡中，点 Add external user group，然后从 Auth source 下拉菜单中选择身份验证源。
在 Name 字段中指定 LDAP 或外部组的确切名称。
单击 Submit。

重要

您可以设置 LDAP 源，以便在用户登录时自动同步用户组成员资格。如果没有设置这个选项，则 LDAP 用户组会通过调度的任务(cron 作业)自动刷新，默认同步 LDAP 身份验证源（默认为 30 分钟）。如果 LDAP 身份验证源中的用户组在调度任务之间变化，则可以将该用户分配到不正确的外部用户组。当调度任务运行时会自动更正。您还可以通过执行 foreman-rake ldap:refresh_usergroups 或通过 Web UI 刷新外部用户组来手动刷新 LDAP 源。

只有在组成员登录到 Satellite 时，基于 IdM 或 AD 的外部用户组才会刷新。Satellite GUI 中无法更改外部用户组的用户成员资格，此类更改将在下一次组刷新时被覆盖。要为外部用户分配额外的权限，请将此用户添加到没有指定外部映射的内部用户组。然后，将所需的角色分配给此组。

返回顶部

8.4. 配置外部用户组

先决条件

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links