9.9. 在 CLI 上为 POSIX ID 范围启用自动私有组映射
默认情况下,如果您建立了依赖于存储在 AD 数据的 POSIX 数据的 POSIX 信任,SSSD 不会为 Active Directory(AD)用户映射私有组。如果任何 AD 用户没有配置主组,IdM 将无法解析它们。
此流程解释了如何在命令行中为 auto_private_groups SSSD 参数设置 hybrid 选项来为 ID 范围启用自动专用组映射。因此,IdM 可以解析在 AD 中没有配置主组的 AD 用户。
先决条件
- 您已成功在 IdM 和 AD 环境间成功建立了 POSIX 跨林信任。
步骤
显示所有 ID 范围并记录您要修改的 AD ID 范围。
[root@server ~]# ipa idrange-find ---------------- 2 ranges matched ---------------- Range name: IDM.EXAMPLE.COM_id_range First Posix ID of the range: 882200000 Number of IDs in the range: 200000 Range type: local domain range Range name: AD.EXAMPLE.COM_id_range First Posix ID of the range: 1337000000 Number of IDs in the range: 200000 Domain SID of the trusted domain: S-1-5-21-4123312420-990666102-3578675309 Range type: Active Directory trust range with POSIX attributes ---------------------------- Number of entries returned 2 ----------------------------
使用
ipa idrange-mod命令调整 AD ID 范围的自动专用组行为。[root@server ~]# ipa idrange-mod --auto-private-groups=hybrid AD.EXAMPLE.COM_id_range重置 SSSD 缓存以启用新的设置。
[root@server ~]# sss_cache -E
其他资源
