Делегирование ролей учетных записей доверительных доменов ALD Pro
=====================================================================

Введение
~~~~~~~~

Начиная с версии 3.2.0 **ALD Pro** поддерживает авторизацию на портале управления пользователей доверительных доменов, посредством поддержки технологии **Trust ID View** и доработки авторизации портала управления (Авторизация по логину пользователя в формате UPN ``login@domain.lan``).

Настройка переопределений атрибутов
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

**Trust ID View** — механизм **FreeIPA**, позволяющий настраивать переопределение атрибутов пользователей из доверенного домена, для последующей авторизации, выдачи групп и ролей в доверяющем домене.

По умолчанию переопределенные пользователи доверительного домена добавляются в специальный предопределенный контейнер **Default Trust View**, который служит хранилищем для переопределенных атрибутов, которые будут действовать для всех хостов в домене.

На текущий момент всe действия по переопределению пользователей, их удаление, выдача групп, ролей, а также аудит выданных доступов возможен только через ``ipa CLI``.

Для переопределения пользователя ``user1@ald.company.lan`` необходимо на контроллере домена из под ``root`` выполнить команду:

.. code-block:: bash
   
   ipa idoverrideuser-add 'default trust view' user1@ald.company.lan

где:

- ``ipa idoverrideuser-add`` — команда переопределяющая пользователя; 

- ``default trust view`` — контейнер или представление, в котором хранятся переопределенные пользователи.

Для удаления переопределенного пользователя  ``user1@ald.company.lan`` необходимо выполнить команду:

.. code-block:: bash
   
   ipa idoverrideuser-del 'default trust view' user1@ald.company.lan

Для включения переопределенного пользователя ``user1@ald.company.lan`` в группу ``admins_dns`` доверяющего домена необходимо выполнить команду:

.. code-block:: bash
   
   ipa group-add-member admins_dns --idoverrideusers user1@ald.company.lan

Для исключения переопределенного пользователя  ``user1@ald.company.lan``  из группы ``admins_dns`` доверяющего домена необходимо выполнить команду:

.. code-block:: bash
   
   ipa group-remove-member admins_dns --idoverrideusers user1@ald.company.lan

Для выдачи роли **ALDPRO - Main Administrator** переопределенному пользователю ``user1@ald.company.lan``:

.. code-block:: bash
   
   ipa role-add-member 'ALDPRO - Main Administrator' --idoverrideusers user1@ald.company.lan

Для удаления роли **ALDPRO - Main Administrator** с переопределенного пользователя ``user1@ald.company.lan``:

.. code-block:: bash

   ipa role-remove-member 'ALDPRO - Main Administrator' --idoverrideusers user1@ald.company.lan

.. important::

   Переопределенному пользователю не доступно создание доверительных отношений с доменом **MS AD**, так как учетная запись переопределенного пользователя не проходит внутренние проверки безопасности **LSA**.
