第 36 章 使用 ID 视图来覆盖 IdM 客户端上的用户属性值
如果身份管理(IdM)用户想要覆盖存储在 IdM LDAP 服务器中的某些用户或组属性,如登录名称、主目录、用于身份验证的证书或 SSH
密钥,则您作为 IdM 管理员可使用 IdM ID 视图重新定义特定 IdM 客户端上的这些值。例如,您可以为用户最常用于登录 IdM 的 IdM 客户端上为用户指定不同的主目录。
本章描述了如何重新定义与作为客户端注册到 IdM 的主机上的 IdM 用户关联的 POSIX 属性值。
36.1. ID 视图
身份管理(IdM)中的 ID 视图是一个指定以下信息的 IdM 客户端视图:
- 集中定义的 POSIX 用户或组属性的新值
- 应用新值的客户端主机或主机。
ID 视图包含一个或多个覆盖。覆盖是集中定义的 POSIX 属性值的特定替换。
您只能为集中在 IdM 服务器上的 IdM 客户端定义 ID 视图。您无法为本地 IdM 客户端配置客户端覆盖。
例如,您可以使用 ID 视图来实现以下目标:
-
为不同的环境定义不同的属性值。例如,您可以允许 IdM 管理员或其他 IdM 用户在不同的 IdM 客户端上拥有不同的主目录:您可以将
/home/crypt/username
配置为此用户在一个 IdM 客户端上的主目录,将/dropbox/username
配置为此用户在另一个客户端上的主目录。在这种情况下使用 ID 视图非常方便,例如,更改客户端/etc/sssd/sssd.conf
文件中的fallback_homedir
、overwrite_homedir
或其他主目录变量将影响所有用户。有关示例过程,请参阅 添加 ID 视图来覆盖 IdM 客户端上的 IdM 用户主目录。 - 将之前生成的属性值替换为其他值,例如覆盖用户的 UID。当您要实现系统范围的更改时,此功能非常有用,否则在 LDAP 端很难实现,例如将 1009 设为 IdM 用户的 UID。用于生成 IdM 用户 UID 的 IdM ID 范围一开始不要低于 1000 甚至 10000。如果 IdM 用户在所有 IdM 客户端上模拟 UID 为1009 的本地用户是有原因的,那么您可以使用 ID 视图覆盖在 IdM 中创建用户时生成的 IdM 用户的 UID。
重要
您只能将 ID 视图应用于 IdM 客户端,不能应用于 IdM 服务器。