第 7 章 SSSD 客户端侧的视图
SSSD 提供 sss_override
工具,允许您创建一个本地视图,显示特定于本地机器的 POSIX 用户或组属性的值。您可以为所有 id_provider
值配置覆盖,但 ipa
除外。
如果您使用 ipa
提供程序,请在 IPA 中集中定义 ID 视图。如需更多信息,请参阅 使用 ID 视图覆盖 IdM 客户端 上的用户属性值。
有关对 SSSD 性能的潜在负面影响的信息,请参阅 ID 视图 对 SSSD 性能的负面影响。
7.1. 覆盖 LDAP username 属性
作为管理员,您可以将现有主机配置为使用 LDAP 中的帐户。但是,LDAP 中用户(名称、UID、GID、主目录、shell)的值与本地系统中的值不同。您可以按照以下步骤定义二级 username
来覆盖 LDAP username
属性。
先决条件
-
root
访问权限 -
已安装
sssd-tools
流程
显示用户的当前信息:
# id username
使用用户名替换 username。
添加二级
username
:# sss_override user-add username -n secondary-username
使用用户的名称替换 username,并使用新
username
替换 secondary-username。使用
sss_override user-add
命令创建第一次覆盖后,重启 SSSD 以使更改生效:# systemctl restart sssd
验证
验证是否添加了新的
username
:# id secondary-username
可选。显示用户的覆盖:
# sss_override user-show user-name user@ldap.example.com:secondary-username::::::
例 7.1. 定义二级用户名
为用户 sjones 添加一个二级
username
sarah。显示用户 sjones 的当前信息:
# id sjones uid=1001(sjones) gid=6003 groups=6003,10(wheel)
添加二级
username
:# sss_override user-add sjones -n sarah
验证新
username
已添加并正确覆盖用户显示:# id sarah uid=1001(sjones) gid=6003(sjones) groups=6003(sjones),10(wheel) # sss_override user-show sjones user@ldap.example.com:sarah::::::
其它资源
-
系统上的
sss_override
man page