Справочный центр ALD Pro 3.2.1
Делегирование ролей учетных записей доверительных доменов ALD Pro¶
Введение¶
Начиная с версии 3.2.0 ALD Pro поддерживает авторизацию на портале управления пользователей доверительных доменов, посредством поддержки технологии Trust ID View и доработки авторизации портала управления (Авторизация по логину пользователя в формате UPN login@domain.lan).
Настройка переопределений атрибутов¶
Trust ID View — механизм FreeIPA, позволяющий настраивать переопределение атрибутов пользователей из доверенного домена, для последующей авторизации, выдачи групп и ролей в доверяющем домене.
По умолчанию переопределенные пользователи доверительного домена добавляются в специальный предопределенный контейнер Default Trust View, который служит хранилищем для переопределенных атрибутов, которые будут действовать для всех хостов в домене.
На текущий момент всe действия по переопределению пользователей, их удаление, выдача групп, ролей, а также аудит выданных доступов возможен только через ipa CLI.
Для переопределения пользователя user1@ald.company.lan необходимо на контроллере домена из под root выполнить команду:
ipa idoverrideuser-add 'default trust view' user1@ald.company.lan
где:
ipa idoverrideuser-add— команда переопределяющая пользователя;default trust view— контейнер или представление, в котором хранятся переопределенные пользователи.
Для удаления переопределенного пользователя user1@ald.company.lan необходимо выполнить команду:
ipa idoverrideuser-del 'default trust view' user1@ald.company.lan
Для включения переопределенного пользователя user1@ald.company.lan в группу admins_dns доверяющего домена необходимо выполнить команду:
ipa group-add-member admins_dns --idoverrideusers user1@ald.company.lan
Для исключения переопределенного пользователя user1@ald.company.lan из группы admins_dns доверяющего домена необходимо выполнить команду:
ipa group-remove-member admins_dns --idoverrideusers user1@ald.company.lan
Для выдачи роли ALDPRO - Main Administrator переопределенному пользователю user1@ald.company.lan:
ipa role-add-member 'ALDPRO - Main Administrator' --idoverrideusers user1@ald.company.lan
Для удаления роли ALDPRO - Main Administrator с переопределенного пользователя user1@ald.company.lan:
ipa role-remove-member 'ALDPRO - Main Administrator' --idoverrideusers user1@ald.company.lan
Важно
Переопределенному пользователю не доступно создание доверительных отношений с доменом MS AD, так как учетная запись переопределенного пользователя не проходит внутренние проверки безопасности LSA.