搜索

7.6. AD 用户的 POSIX 和 ID 映射 ID 范围类型

download PDF

身份管理(IdM)根据用户的 POSIX 用户 ID(UID)和组 ID(GID)强制实行访问控制规则。但是,活动目录(AD)用户是由安全标识符(SID)标识的。AD 管理员可以配置 AD 来存储 AD 用户和组的 POSIX 属性,如 uidNumbergidNumberUNIXHomeDirectoryloginShell

您可以通过使用 ipa-ad-trust-posix ID range 建立信任,来配置跨林信任引用此信息:

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust-posix

如果您没有在 AD 中存储 POSIX 属性,则系统安全服务守护进程(SSSD)可以根据在称为 ID 映射 的进程中用户的 SID 来一致地映射一个唯一的 UID。您可以通过使用 ipa-ad-trust ID range 创建信任来明确地选择此行为:

[server ~]# ipa trust-add --type=ad ad.example.com --admin administrator --password  --range-type=ipa-ad-trust
警告

如果您在创建信任时没有指定 ID Range 类型,IdM 会尝试通过在林根域中请求 AD 域控制器的详情来自动选择适当的范围类型。如果 IdM 没有检测到任何 POSIX 属性,则信任安装脚本会选择 活动目录域 ID range。

如果 IdM 在林根域中检测到任何 POSIX 属性,则信任安装脚本会选择 带有 POSIX 属性的活动目录域 ID range,并假定已在 AD 中正确定义了 UID 和 GID。如果没有在 AD 中正确设置了 POSIX 属性,则您将无法解析 AD 用户。

例如,如果需要访问 IdM 系统的用户和组不是林根域的一部分,而是位于林域的子域中,则安装脚本可能检测不到子 AD 域中定义的 POSIX 属性。在这种情况下,红帽建议您在创建信任时明确选择 POSIX ID 范围类型。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.