7.8. 用于自动为 AD 用户映射私有组的选项: ID 映射信任
Linux 环境中的每个用户都有一个主用户组。Red Hat Enterprise Linux(RHEL)使用用户私有组(UPG)模式:UPG 与其创建的用户的名称相同,并且该用户是 UPG 的唯一成员。
如果您已为 AD 用户分配了 UID,但没有添加 GID,您可以通过调整该 ID 范围的 auto_private_groups 设置来根据其 UID 将 SSSD 配置成自动为用户映射私有组。
默认情况下,对于在 ID 映射信任中使用的 ipa-ad-trust
ID ranges,auto_private_groups
选项被设为 true
。通过此配置,SSSD 会根据其安全标识符(SID)计算 AD 用户的 UID 和 GID。SSSD 忽略 AD 中的任何 POSIX 属性,如 uidNumber
、gidNumber
,同时忽略 primaryGroupID
。
auto_private_groups = true
SSSD 始终将设置为 GID 的私有组映射为与 UID 匹配,该 UID 基于 AD 用户的 SID。
表 7.5. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 true 时 SSSD 的行为 AD 中的用户配置 id username
的输出AD 用户条目,其中:
- SID 映射为 7000
-
primaryGroupID
映射为 8000
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=7000(aduser@ad-domain.com) groups=7000(aduser@ad-domain.com), 8000(adgroup@ad-domain.com), …
auto_private_groups = false
如果将
auto_private_groups
选项设为false
,SSSD 将使用 AD 条目中设置的primaryGroupID
作为 GID 号。primaryGroupID
的默认值对应于 AD 中的Domain Users
组。表 7.6. 当 ID 映射 ID 范围的 auto_private_groups 变量设为 false 时 SSSD 的行为 AD 中的用户配置 id username
的输出AD 用户条目,其中:
- SID 映射为 7000
-
primaryGroupID
映射为 8000
# id aduser@AD-DOMAIN.COM
uid=7000(aduser@ad-domain.com) gid=8000(adgroup@ad-domain.com) groups=8000(adgroup@ad-domain.com), …