14.12. 为 IdM 中的本地和远程组启用组合并
组可以是集中管理的,由域,如身份管理(IdM)或活动(AD)提供,或者它们在本地系统上的 etc/group
文件中管理。在大多数情况下,用户依赖于集中管理的存储。然而,在某些情况下,软件仍依赖于已知组中的成员资格来管理访问控制。
如果要管理域控制器和本地 etc/group
中的文件组,您可以启用组合并。您可以配置 nsswitch.conf
文件,来检查本地文件和远程服务。如果组在这两个地方都出现,则将合并成员用户列表,并在单个响应中返回。
以下步骤描述了如何为用户 idmuser 启用组合并。
流程
将
[SUCCESS=merge]
添加到/etc/nsswitch.conf
文件中:# Allow initgroups to default to the setting for group. initgroups: sss [SUCCESS=merge] files
将 idmuser 添加到 IdM 中:
# ipa user-add idmuser First name: idm Last name: user --------------------- Added user "idmuser" --------------------- User login: idmuser First name: idm Last name: user Full name: idm user Display name: idm user Initials: tu Home directory: /home/idmuser GECOS: idm user Login shell: /bin/sh Principal name: idmuser@IPA.TEST Principal alias: idmuser@IPA.TEST Email address: idmuser@ipa.test UID: 19000024 GID: 19000024 Password: False Member of groups: ipausers Kerberos keys available: False
验证本地
audio
组的 GID。$ getent group audio --------------------- audio:x:63
将组
audio
添加到 IdM 中:$ ipa group-add audio --gid 63 ------------------- Added group "audio" ------------------- Group name: audio GID: 63
注意您在将
audio
组添加到 IdM 时定义的 GID 必须与本地audio
组的 GID 相同。将 idmuser 用户添加到 IdM
audio
组中:$ ipa group-add-member audio --users=idmuser Group name: audio GID: 63 Member users: idmuser ------------------------- Number of members added 1 -------------------------
验证
- 以 idmuser 身份登录。
验证 idmuser 在其会话中是否有本地组:
$ id idmuser uid=1867800003(idmuser) gid=1867800003(idmuser) groups=1867800003(idmuser),63(audio),10(wheel)