Управление объектами и группами объектов

Создание, изменение и удаление динамических групп

В Системе реализован особый тип групп – динамические группы пользователей и компьютеров, которые автоматически включают или исключают пользователей и компьютеры на основе заданных правил (атрибутов, фильтров) с помощью LDAP-запросов, а не ручного добавления.

Работа с динамическими группами возможна при наличии у пользователя прав на чтение системных папок, папок подразделений, стандартных объектов и создание, изменение и удаление стандартных объектов.

Операция доступна через все интерфейсы Системы. Ограничения по использованию интерфейсов описаны в п. Вход в Систему настоящего Руководства администратора.

Для этой операции используется команды вида:

для динамических групп пользователей – dgroup_add, dgroup_mod, dgroup_del;
для динамических групп компьютеров – dhostgroup_add, dhostgroup_mod, dhostgroup_del.

В веб-интерфейсе доступна контекстно-зависимая панель инструментов. Содержимое панели зависит от выбранного объекта службы каталогов в левой панели. При выборе подразделения в панели списка доступны все инструменты по созданию, изменению и удалению объектов.

Графический интерфейс Dynamic Directory позволяет создавать и удалять динамические группы пользователей и динамические группы компьютеров, которые формируются с помощью LDAP-запросов.

С помощью графического интерфейса Dynamic Directory можно создать новую динамическую группу пользователя. Для этого в панели папок нужно перейти в какое-либо подразделение и по ПКМ выбрать из контекстного меню "Создать → Динамическая группа пользователей" (рисунок 6).

Рисунок 6 – Создание динамической группы пользователей

После этого откроется окно для ввода первоначальных данных о группе в соответствии с рисунком 7.

Рисунок 7 – Ввод данных о динамической группе

После заполнения данных имен и описания группы необходимо нажать кнопку Сохранить в нижней части окна. После закрытия диалогового окна в главном окне интерфейса отображаются данные о группе.

Для изменения информации о группе необходимо, находясь в главном окне графического интерфейса Dynamic Directory, в правой панели списка выбрать группу и в контекстном меню нажать на пункт "Свойства". В результате откроется соответствующее окно "Свойства объекта – Динамическая группа пользователей" (рисунок 8).

Рисунок 8 – Окно изменения данных группы

Кроме изменения основных атрибутов пользователя, в данном окне присутствуют вкладки "Участники" и "Участвует".

При переходе на вкладку "Участники" доступна дополнительная панель инструментов "Запросы URL", на которой отображены кнопки – Добавить и Удалить – для введения LDAP-запроса на формирование динамической группы (рисунок 9).

Рисунок 9 – Добавление пользователя в группу

При переходе на вкладку "Участвует" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения динамической группы из других групп (рисунок 10).

Рисунок 10 – Добавление динамической группы в группу пользователей

Аналогичным образом происходит добавление динамической группы компьютеров службы каталогов при выборе из контекстного меню "Создать → Динамическая группа компьютеров" из графического интерфейса Dynamic Directory.

Удаление динамических групп службы каталогов производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест) или выбором из контекстного меню пункта "Удалить".

Затем в появившемся диалоговом окне "Удаление объектов" предоставляется для выбора кнопки: Да – подтверждение удаления выбранной группы, Нет – отказ от удаления (рисунок 11).

Рисунок 11 – Подтверждение удаления

Создание, изменение и удаление стандартных объектов

Работа со объектами возможна при наличии у пользователя прав на чтение системных папок, папок подразделений, стандартных объектов и создание, изменение и удаление стандартных объектов.

Операция доступна через все интерфейсы Системы.

Создание, изменение, удаление объектов службы каталогов осуществляется с помощью команд вида:

[объект]_add
[объект]_mod
[объект]_del

где в качестве объекта могут быть использованы user, host, group, hostgroup, sharedfolder, sharedprinter, ou.

Графический интерфейс Dynamic Directory позволяет создавать и изменять следующие объекты службы каталогов: пользователи, компьютеры, группы пользователей, группы компьютеров, общие принтеры, общие папки, организационные подразделения.

С помощью графического интерфейса Dynamic Directory можно создать нового пользователя. Для этого в панели инструментов необходимо нажать на пиктограмму (добавление пользователя) на панели инструментов. После этого откроется соответствующее окно для ввода первоначальных данных о пользователе (рисунок 12).

Рисунок 12 – Создание нового пользователя

После заполнения данных о пользователе необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будут отображены данные пользователя.

Для изменения информации о пользователе необходимо, находясь в главном окне графического интерфейса Dynamic Directory, в правой панели списка выбрать пользователя и в контекстном меню нажать на пункт "Свойства". Будет открыто соответствующее окно (рисунок 13).

Рисунок 13 – Окно изменения данных пользователя

Кроме изменения основных атрибутов пользователя, в данном окне доступны вкладки "Учетная запись", "Данные", "Контакты", "Участвует" и "Расширенные атрибуты".

При переходе на вкладку "Участвует" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления и исключения пользователя из групп (рисунок 14).

Рисунок 14 – Добавление пользователя в группу

Аналогичным образом происходит добавление любых других объектов службы каталогов из графического интерфейса Dynamic Directory.

При создании подразделений, кроме ввода имени и описания подразделения, можно поставить флажок в поле "Защитить подразделение от удаления" (рисунок 15), что позволит в дальнейшем избежать случайного удаления подразделения из перечня объектов Системы.

Рисунок 15 – Добавление пользователя в группу

При работе с подразделениями можно использовать возможность создания вложенных подразделений, для чего необходимо выбрать вышестоящее подразделение и из контекстного меню выбрать "Создать → Подразделение" (рисунок 16).

Рисунок 16 – Создание вложенного подразделения

Удаление объектов службы каталогов производится с помощью выбора объекта в правой панели и последующего нажатия в панели инструментов пиктограммы (крест) или выбором из контекстного меню пункта "Удалить".

Система выдает в диалоговом окне "Удаление объектов" запрос для выбора: "Да" – полное удаление пользователя, "Нет" – для перемещения пользователя в секцию "Удаленные пользователи" (рисунок 17).

Рисунок 17 – Выбор варианта удаления

Затем в другом диалоговом окне "Удаление объектов" предоставляется для выбора: "Да" – подтверждение полного удаления выбранного пользователя или перемещения пользователя в секцию "Удаленные пользователи" в зависимости от выбора на предыдущем шаге; "Нет" – отказ от удаления (рисунок 18).

Рисунок 18 – Подтверждение удаления

После положительного ответа в случае неполного удаления объект будет сохранен и перемещен в секцию "Удаленные пользователи", как показано на рисунке 19. В дальнейшем удаленного пользователя можно будет восстановить в Системе, как это описано в п. Перемещение объектов между организационными подразделениями.

Рисунок 19 – Список удаленных пользователей

Работа с группами

В Dynamic Directory поддерживается несколько видов групп стандартных объектов:

группа пользователей;
группа компьютеров.

Группы используются для упрощения управления правами доступа и администрирования локальных сетей в крупных организациях.

Более подробная информация о назначении групп содержится в официальной документации FreeIPA, ссылка на которую приведена в п. Перечень документации для ознакомления настоящего Руководства администратора.

В окне изменения групп представлены три вкладки, позволяющие добавлять членов групп, а также делать данную группу членом других групп (рисунок 20).

Рисунок 20 – Изменение группы

При переходе на вкладку "Участвует" доступна дополнительная панель инструментов, на которой отображены кнопки – Добавить и Удалить – для добавления изменяемой группы в другие группы или исключения из них.

Включение и исключение объектов в группах

Операции включения и исключения объектов в группах возможны при наличии у пользователя прав на чтение стандартных объектов, включение и исключение объектов службы каталогов в группах.

Операции доступна через все интерфейсы Системы. Ограничения по использованию интерфейсов описаны в п. Вход в Систему настоящего Руководства администратора.

В командной строке используются команды вида:

для добавления пользователей в группу:

$ ipa group_add_member [имя группы] --[параметры] --[общие опции]

для исключения пользователей из группы:

$ ipa group_remove_member [имя группы] --[параметры] --[общие опции]

В графическом интерфейсе в левой части окна нужно выбрать любую из папок, содержащую объекты "Пользователь" или "Компьютер". В правой части панели списка следует перейти к объекту и выбрать из контекстного меню пункт "Свойства". В окне "Свойства объекта – …" (рисунок 21) для добавления объекта в группу требуется перейти на вкладку "Участвует" и нажать кнопку Добавить.

Рисунок 21 – Свойства объекта

В появившемся окне "Поиск объектов службы каталогов" нужно задать необходимые параметры для поиска, выбрать группу или несколько групп и нажать кнопку ОК в соответствии с рисунком 22. На вкладке "Участвует" появится выбранная ранее группа.

Рисунок 22 – Поиск объектов службы каталогов

Также объект можно добавить в группу, отметив его в правой части окна и выбрав с помощью контекстного меню пункт "Добавить в группу". Далее аналогично предыдущим действиям через окно "Поиск объектов службы каталогов" нужно добавить объект в группу.

Для удаления пользователя из перечня групп на вкладке "Участвует" следует выбрать группу и нажать кнопку Удалить.

Поиск объектов по имени

Для поиска объектов по имени необходимо наличие у пользователя прав на чтение системных папок и папок подразделений и стандартных объектов.

Операция доступна через все интерфейсы Системы.

Для этой операции используются команды вида:

$ ipa [объект]_find

В качестве объекта могут выступать user, host, group, hostgroup, sharedfolder, sharedprinter, ou.

Штатный веб-интерфейс позволяет находить все объекты службы каталогов, кроме организационных единиц, общих принтеров и общих папок.

Графический интерфейс Dynamic Directory позволяет производить поиск следующих объектов службы каталогов: пользователи, компьютеры, группы пользователей, группы компьютеров, общие принтеры, общие папки, организационные единицы.

В панели инструментов главного окна графического интерфейса Dynamic Directory доступна пиктограмма (поиск) для запуска операции "Поиск объектов службы каталогов" в соответствии с рисунком 23.

Рисунок 23 – Поиск объектов службы каталогов

Для поиска объектов необходимо выбрать один или несколько типов объектов, папку расположения, в строку поиска "Содержит" ввести текст, необходимый для определения имени объекта, и нажать кнопку Найти. Система проведет поиск всех объектов, имя которых содержит данную подстроку, и выведет их в правой панели списка.

Фильтрация отображения объектов

Для фильтрации отображения объектов необходимо наличие у пользователя прав на просмотр объектов службы каталогов.

Операция доступна через графический интерфейс Системы и веб-интерфейс. Для этой операции командная строка не предусмотрена.

В панели инструментов главного окна графического интерфейса Dynamic Directory доступна пиктограмма (фильтр), нажатием ЛКМ по которой вызывается окно со списком типов объектов в соответствии с рисунком 24.

Рисунок 24 – Фильтрация объектов

Для отображения объектов необходимо отметить "флажками" те типы объектов, список которых необходимо отразить, указать ниже максимальное количество объектов, отображаемых в папке, и нажать кнопку ОК. Система проведет фильтрацию всех выбранных типов объектов и выведет в правой панели списка количество объектов, не превышающее заданное.