15.2. 将自定义对象类应用到新用户条目
使用应用到该条目的一组预定义的 LDAP 对象类创建用户和组帐户。属于对象类的任何属性都可以添加到用户条目中。
虽然标准和特定于 IdM 的 LDAP 对象类将涵盖大多数部署场景,但管理员可以使用自定义属性创建自定义对象类。请注意,在管理员修改默认对象类列表后,新条目将包含自定义对象类,但旧条目不会被自动修改。
15.2.1. 使用 Web UI
- 将所有自定义架构元素添加到身份管理使用的 389 目录服务器实例中。目录服务器管理员指南的 schema 章节 介绍了添加架构元素。
- 打开 IPA Server 选项卡。
- 选择 Configuration 子选项卡。
- 滚动到 User Options 区域。
图 15.1. 服务器配置中的用户选项
- 在用户区域的底部,单击 Add 以为另一个对象类包含一个新字段。重要更新配置时,始终包含 现有的 默认对象类。否则,将覆盖当前设置。如果没有包含身份管理所需的任何对象类,后续的尝试添加条目将失败,并显示对象类违反情况。
图 15.2. 更改默认用户对象类
- 更改完成后,点 Configuration 页面顶部的 Save。
15.2.2. 从命令行
- 将所有自定义架构元素添加到身份管理使用的 389 目录服务器实例中。目录服务器管理员指南的 schema 章节 介绍了添加架构元素。
- 将新对象类添加到添加到条目的对象类列表中。用户对象类的选项是
--userobjectclasses
。重要更新配置时,始终包含 现有的 默认对象类。否则,将覆盖当前设置。如果没有包含身份管理所需的任何对象类,后续的尝试添加条目将失败,并显示对象类违反情况。所有对象类都必须包含在对象类列表中。通过 config-mod 命令传递的信息会覆盖之前的值。这可以通过--userobjectclasses
参数指定各个对象类,或者将逗号分隔的所有对象类列在不允许有空格的大括号内,如 {attr1,attr2,attr3}。特别对于长列表而言,使用大括号比多个选项更容易。例如:[bjensen@server ~]$ ipa config-mod
--userobjectclasses=
{top,person,organizationalperson,inetorgperson,inetuser,posixaccount,krbprincipalaux,krbticketpolicyaux,ipaobject,ipasshuser,employeeinfo
}
注意
要使用大括号选项,必须打开
大括号扩展功能
。要激活这个功能,请使用 set 命令:
# set -o braceexpand