37.3. 对带有 ID 视图的 IdM 客户端上的 AD 用户覆盖 Default Trust View 属性
您可能希望为活动目录(AD)用户覆盖 Default Trust View 中的一些 POSIX 属性。例如,您可能需要在一个特定的 IdM 客户端上给 AD 用户赋予一个不同的 GID。对 AD 用户,您可以使用一个 ID 视图覆盖 Default Trust View 中的一个值,并将其应用到单个主机。此流程解释了如何将 host1.idm.example.com
IdM 客户端上的 ad_user@ad.example.com
AD 用户的 GID 设为 732001337。
先决条件
-
您有访问
host1.idm.example.com
IdM 客户端的 root 权限。 -
您已作为具有所需权限的用户登录了,如
admin
用户。
流程
创建 ID 视图。例如,创建名为 example_for_host1 的 ID 视图:
$ ipa idview-add example_for_host1 --------------------------- Added ID View "example_for_host1" --------------------------- ID View Name: example_for_host1
将用户覆盖添加到 example_for_host1 ID 视图。要覆盖用户的 GID:
-
输入
ipa idoverrideuser-add
命令 - 添加 ID 视图的名称
- 添加用户名,也称为锚
-
添加
--gidnumber=
选项:
$ ipa idoverrideuser-add example_for_host1 ad_user@ad.example.com --gidnumber=732001337 ----------------------------- Added User ID override "ad_user@ad.example.com" ----------------------------- Anchor to override: ad_user@ad.example.com GID: 732001337
-
输入
将
example_for_host1
应用到host1.idm.example.com
IdM 客户端:$ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com ----------------------------- Applied ID View "example_for_host1" ----------------------------- hosts: host1.idm.example.com --------------------------------------------- Number of hosts the ID View was applied to: 1 ---------------------------------------------
注意ipa idview-apply
命令也接受--hostgroups
选项。选项将 ID 视图应用到属于指定主机组的主机,但不会将 ID 视图与主机组本身相关联。相反,--hostgroups
选项会展开指定主机组的成员,并将--hosts
选项分别应用到其中的每一个成员。这意味着,如果以后将主机添加到主机组中,则 ID 视图不会应用到新主机。
从
host1.idm.example.com
IdM 客户端上的 SSSD 缓存中清除掉ad_user@ad.example.com
用户的条目。这会删除过时的数据,并允许应用新的覆盖值。[root@host1 ~]# sssctl cache-expire -u ad_user@ad.example.com
验证步骤
以 ad_user@ad.example.com 身份
SSH
到 host1 :[root@r8server ~]# ssh ad_user@ad.example.com@host1.idm.example.com
检索
ad_user@ad.example.com
用户的信息以验证 GID 是否反映了更新的值。[ad_user@ad.example.com@host1 ~]$ id ad_user@ad.example.com uid=702801456(ad_user@ad.example.com) gid=732001337(admins2) groups=732001337(admins2),702800513(domain users@ad.example.com)