5.3.3. 为 ActiveActive Directorynbsp 创建 IdM 组;Directory 用户
需要用户组来设置 IdM 用户的访问权限、基于主机的访问控制、sudo 规则和其他控制。这些组是授予 IdM 域资源访问权限并限制访问的方式。
AD 用户和 AD 组都可以直接添加到 IdM 用户组中。为此,首先将 AD 用户或组添加到非POSIX IdM 外部组中,然后添加到本地 IdM POSIX 组。然后,POSIX 组可用于 AD 用户的用户和角色管理。IdM 中处理非POSIX 组的原则请参考 第 5.1.3.2 节 “Active Directory 用户和身份管理组”。
注意
也可以将 AD 用户组添加为 IdM 外部组的成员。通过在单个 AD 域内保持用户和组管理,这可以更加轻松地为 Windows 用户定义策略。
- 可选。在 AD 域中创建或选择要用于管理 IdM 域中的 AD 用户的组。多个组可用于 IdM 端的不同组并添加到不同的组中。
- 通过将
--external
选项添加到 ipa group-add 命令,在 IdM 域中为 ActiveActive Directorynbsp;Directory 用户创建一个外部组。external 选项表示此组旨在包含
IdM 域外的成员。例如:[root@ipaserver ~]# ipa group-add --desc='AD users external map' ad_users_external --external ------------------------------- Added group "ad_users_external" ------------------------------- Group name: ad_users_external Description: AD users external map
注意外部组必须链接到一组其他用户,而不是用户的主组。Activeactive Directorynbsp;Directory 将组成员存储在组的member
属性中,IdM 使用此属性来解析成员。但是,ActiveActive Directorynbsp;Directory 将用户的主组群保存在用户条目的primaryGroupID
属性中,该属性没有被解决。 - 创建一个新的 IdM POSIX 组,或选择一个现有组来管理 IdM 策略。例如,要创建新组:
[root@ipaserver ~]# ipa group-add --desc='AD users' ad_users ---------------------- Added group "ad_users" ---------------------- Group name: ad_users Description: AD users GID: 129600004
- 将 AD 用户或组作为外部成员添加到 IdM 外部组中。AD
成员通过其完全限定名称标识,如DOMAIN\group_name 或
。然后,AD 身份被映射到用户或组的 ActiveActive Directorynbsp;Directory SID。DOMAIN\username
例如,对于 AD 组:[root@ipaserver ~]# ipa group-add-member ad_users_external --external "AD\Domain Users" [member user]: [member group]: Group name: ad_users_external Description: AD users external map External member: S-1-5-21-3655990580-1375374850-1633065477-513 SID_DOM_GROUP (2) ------------------------- Number of members added 1 -------------------------
- 将外部 IdM 组作为成员添加到 POSIX IdM 组。例如:
[root@ipaserver ~]# ipa group-add-member ad_users --groups ad_users_external Group name: ad_users Description: AD users GID: 129600004 Member groups: ad_users_external ------------------------- Number of members added 1 -------------------------