搜索

7.8. 用于自动为 AD 用户映射私有组的选项: ID 映射信任

download PDF

Linux 环境中的每个用户都有一个主用户组。Red Hat Enterprise Linux(RHEL)使用用户私有组(UPG)模式:UPG 与其创建的用户的名称相同,并且该用户是 UPG 的唯一成员。

如果您已为 AD 用户分配了 UID,但没有添加 GID,您可以通过调整该 ID 范围的 auto_private_groups 设置来根据其 UID 将 SSSD 配置成自动为用户映射私有组。

默认情况下,对于在 ID 映射信任中使用的 ipa-ad-trust ID ranges,auto_private_groups 选项被设为 true。通过此配置,SSSD 会根据其安全标识符(SID)计算 AD 用户的 UID 和 GID。SSSD 忽略 AD 中的任何 POSIX 属性,如 uidNumbergidNumber,同时忽略 primaryGroupID

auto_private_groups = true

SSSD 始终将设置为 GID 的私有组映射为与 UID 匹配,该 UID 基于 AD 用户的 SID。

表 7.5. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 true 时 SSSD 的行为
AD 中的用户配置id username 的输出

AD 用户条目,其中:

  • SID 映射为 7000
  • primaryGroupID 映射为 8000

# id aduser@AD-DOMAIN.COMuid=7000(aduser@ad-domain.com) gid=7000(aduser@ad-domain.com) groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …​

auto_private_groups = false

如果将 auto_private_groups 选项设为 false,SSSD 将使用 AD 条目中设置的 primaryGroupID 作为 GID 号。primaryGroupID 的默认值对应于 AD 中的 Domain Users 组。

表 7.6. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 false 时 SSSD 的行为
AD 中的用户配置id username 的输出

AD 用户条目,其中:

  • SID 映射为 7000
  • primaryGroupID 映射为 8000

# id aduser@AD-DOMAIN.COMuid=7000(aduser@ad-domain.com) gid=8000(adgroup@ad-domain.com) groups=8000(adgroup@ad-domain.com), …​

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.