第 15 章 用户和组架构
创建用户条目时,会自动为其分配特定的 LDAP 对象类,这些类反过来会提供某些属性。LDAP 属性是信息存储在 目录中的方式。(在 Directory Server 部署指南和目录服务器架构 参考 中详细讨论。)
对象类 | 描述 |
---|---|
ipaobject
ipasshuser
| IdM 对象类 |
人
OrganizationPerson
inetorgperson
inetuser
posixAccount
| 人员对象类 |
krbprincipalaux
krbticketpolicyaux
| Kerberos 对象类 |
mepOriginEntry | 受管条目(template)对象类 |
用户条目可以使用多个属性:有些是手动设置的,如果未设置特定值,则根据默认值设置。还有一个选项,可以添加 表 15.1 “默认身份管理用户对象类” 中的对象类中可用属性,即使该属性没有 UI 或命令行参数。另外,也可以配置默认属性生成的或使用的值,如 第 15.4 节 “指定默认用户和组属性” 所示。
UI 字段 | 命令行选项 | 必需、可选或默认[a] |
---|---|---|
用户登录 | username | 必需 |
名 | --first | 必需 |
姓 | --last | 必需 |
全名 | --cn | 选填 |
显示名称 | --displayname | 选填 |
初始 | --initials | Default(默认) |
主目录 | --homedir | Default(默认) |
GECOS 字段 | --gecos | Default(默认) |
shell | --shell | Default(默认) |
Kerberos 主体 | --principal | Default(默认) |
电子邮件地址 | --email | 选填 |
密码 | --password [b] | 选填 |
用户 ID 号 | --uid | Default(默认) |
组 ID 号 | --gidnumber | Default(默认) |
街道地址 | --street | 选填 |
City | --city | 选填 |
州/省 | --state | 选填 |
zip 代码 | --postalcode | 选填 |
电话号码 | --phone | 选填 |
手机电话号码 | --mobile | 选填 |
寻呼器编号 | --pager | 选填 |
传真号码 | --fax | 选填 |
组织单元 | --orgunit | 选填 |
任务标题 | --title | 选填 |
Manager(管理者) | --manager | 选填 |
汽车许可证 | --carlicense | 选填 |
--noprivate | 选填 | |
SSH 密钥 | --sshpubkey | 选填 |
其他属性 | --addattr | 选填 |
部门编号 | --departmentnumber | 选填 |
员工号 | --employeenumber | 选填 |
员工类型 | --employeetype | 选填 |
首选语言 | --preferredlanguage | 选填 |
[a]
必须为每个条目设置必要属性。可选属性可以设置,而默认属性会自动添加预定义的值,除非指定了特定值。
[b]
脚本会提示输入新密码,而不是通过 参数接受值。
|
15.1. 关于更改默认用户和组架构
可以添加或更改用于用户和组条目的对象类和属性(第 15 章 用户和组架构)。
IdM 配置在对象类更改时提供一些验证:
- LDAP 服务器必须知道所有对象类及其指定属性。
- 为条目配置的所有默认属性都必须被配置的对象类支持。
但是,IdM 模式验证存在限制。最重要的是,IdM 服务器不会检查定义的用户或组对象类是否包含 IdM 条目所需的所有对象类。例如,所有 IdM 条目都需要 ipaobject 对象类。但是,当用户或组架构发生更改时,服务器不会检查确保包含此对象类;如果对象类被意外删除,则将来的条目添加操作将失败。
此外,所有对象类更改都是原子的,而不是增量的。每次有更改时都必须定义默认对象类的整个列表。例如,公司可以创建自定义对象类别来存储员工信息,如生日和就业开始日期。管理员不能简单地将自定义对象类添加到列表中;必须设置当前默认对象类的整个列表 加上 新的对象类。更新配置时,必须始终包含 现有的 默认对象类。否则,将覆盖当前设置,这会导致严重的性能问题。