51.2. 使用 ID 覆盖来启用 AD 用户管理 IdM
按照以下流程,为 AD 用户创建和使用 ID 覆盖,来为该用户授予与 IdM 用户相同的权利。在此过程中,在配置为信任控制器或信任代理的 IdM 服务器上工作。
先决条件
在身份管理 (IdM) 服务器上启用了
idm:DL1
流,并已切换到通过此流提供的 RPM:# yum module enable idm:DL1 # yum distro-sync
idm:DL1/adtrust
配置集已安装在您的 IdM 服务器上。# yum module install idm:DL1/adtrust
该配置文件包含安装与活动目录(AD)具有信任协议的 IdM 服务器所需的所有软件包。
- 设定了一个正常工作的 IdM 环境。详情请参阅 安装身份管理。
- 设置 IdM 环境和 AD 之间的工作信任。
流程
作为 IdM 管理员,为 Default Trust View 中的 AD 用户创建一个 ID 覆盖。例如,要为用户
ad_user@ad.example.com
创建一个 ID 覆盖:# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
将 Default Trust View 中的 ID 覆盖添加为 IdM 组的成员。这必须是非 POSIX 组,因为它与活动目录进行交互。
如果问题中的组是 IdM 角色的成员,则 ID 覆盖所代表的 AD 用户在使用 IdM API(包括命令行界面和 IdM Web UI)时获得角色授予的所有权限。
例如,要将
ad_user@ad.example.com
用户的 ID 覆盖添加到 IdMadmins
组中:# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
或者,您可以在角色中添加 ID 覆盖,如 User Administrator 角色:
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com
其他资源