База знаний
Войти

Работа с представлениями idview и переопределение идентификаторов для пользователей AD

Переопределение идентификаторов для пользователей AD

Система позволяет добавлять переопределение ID пользователя для пользователя AD как члена группы Dynamic Directory. Переопределение ID — это запись, описывающая, как должны выглядеть свойства конкретного пользователя или группы Active Directory в определенном представлении ID, обычно в представлении "Default Trust View". При использовании переопределения ID сервер Dynamic Directory может применять правила контроля доступа для группы Dynamic Directory к пользователю AD.

Благодаря использованию переопределений ID пользователи AD могут использовать функции самообслуживания Dynamic Directory UI, например, для загрузки своих ключей SSH или изменения своих персональных данных. Администратор AD может полностью администрировать Dynamic Directory без необходимости иметь две разные учетные записи и пароли.

Необходимо обратить внимание, что не следует использовать переопределения идентификаторов пользователей AD для sudo-правил в Dynamic Directory. Переопределения идентификаторов пользователей AD представляют только атрибуты POSIX пользователей AD, а не самих пользователей AD.

Добавление и удаление представления ID (idview)

Для добавления представления ID (idview) нужно перейти в перспективу "Управление ролевой моделью".

Далее выбрать системную папку "ID Views" и вызвать контекстное меню, после чего нажать на пункт "Новое представление" (рисунок 48).

Рисунок 48 – Выбор создания нового представления

В открывшемся окне "Создание нового объекта – Представление ID" ввести имя представления, например "ad_test", при необходимости описание и нажать кнопку ОК (рисунок 49).

Рисунок 49 – Создание представления

В результате будет создано новое представление ID (idview) с именем "ad_test" (рисунок 50).

Рисунок 50 – Новое представление ID

Для его наполнения представления ID требуется выполнить команду на сервере Dynamic Directory:

idviews_sync.py --domain win.srv -v ad_test

После этого переопределенные пользователи домена MS AD появятся в представлении ID (рисунок 51).

Рисунок 51 – Представление ID с пользователями

Для удаления представления ID нужно вызвать его контекстное меню и выбрать пункт "Удалить" (рисунок 52).

Рисунок 52 – Удаление представления ID

В результате представление не будет отображаться в папке "ID Views".

Добавление и удаление переопределения id пользователя (ID Override User).

Для добавления переопределения ID пользователя (ID Override User) требуется вызвать контекстное меню представления ID и выбрать пункт "Новое переопределение ID пользователя" (рисунок 53).

Рисунок 53 – Выбор действия по переопределению

В открывшемся окне ввести имя переопределенного пользователя и нажать кнопку ОК (рисунок 54).

Рисунок 54 – Создание переопределения

В результате переопределенный пользователь появится в списке переопределений "ID Views" (рисунок 55).

Рисунок 55 – Переопределенные пользователи

Для удаления переопределенного пользователя нужно выбрать его в списке представления "ID Views", вызвать его контекстное меню и выбрать пункт "Удалить" (рисунок 56).

Рисунок 56 – Удаление переопределенного пользователя

После этого переопределенный пользователь будет удален из списка представления "ID Views".

Добавление переопределения ID пользователя в группу и удаление из нее

Для добавления переопределения ID пользователя в группу требуется предварительно создать группу, например ad_users, и затем выполнить следующие действия:

  1. вызвать контекстное меню группы ad_users, выбрать пункт "Свойства" и в открывшемся окне выбрать вкладку "Участники" (рисунок 57);

Рисунок 57 – Добавление в группу

  1. нажать на кнопку Добавить и в открывшемся окне "Поиск объектов службы каталогов" нажать на кнопку выбора типа объекта - Рисунок 57 – Добавление в группу
  2. в открывшемся диалоговом окне отметить флажком пункт "Переопределения ID пользователя" и нажать кнопку ОК (рисунок 58);

Рисунок 58 – Выбор типа объекта

  1. в диалоговом окне подтверждения условий поиска нажать кнопку Да (рисунок 59).

Рисунок 59 – Подтверждение условий поиска

  1. в окне поиска объектов нажать кнопку Найти, из найденных переназначенных ID пользователей выделить одного или нескольких требуемых, нажать кнопку ОК (рисунок 60);

Рисунок 60 – Выбранные ID пользователей

  1. нажать на кнопку ОК, после чего пользователи будут добавлены в группу (рисунок 61).

Рисунок 61 – Добавленные в группу ID пользователей

Для удаления переопределения ID пользователя требуется выбрать его и нажать кнопку "Удалить", как показано на рисунке 62. Запись будет удалена.

Рисунок 62 – Удаление переопределенного ID пользователя

Добавление и удаление переопределения ID группы (ID Override Group)

Для добавления или удаления переопределения ID группы (ID Override group) нужно выполнить следующие действия:

  1. перейти в перспективу "Управление ролевой моделью", выбрать системную папку "ID Views" и развернуть ее (рисунок 63);

Рисунок 63 – Выбор парки представлений

  1. вызвать контекстное меняю представления "Default Trust View" и выбрать пункт "Новое переопределение ID группы" (рисунок 64);

Рисунок 64 – Выбор действия по переопределению

  1. в открывшемся диалоговом окне ввести имя переназначаемой группы, например trust_test@win.srv (рисунок 65);

Рисунок 65 – Создание нового переопределения ID группы

  1. нажать кнопку ОК; группа будет добавлена и видна в правой панели списка (рисунок 66).

Рисунок 66 – Добавленная группа в списке

Для удаления переназначенной группы нужно выбрать группу, вызвать ее контекстное меню и выбрать пункт "Удалить" (рисунок 67).

Рисунок 67 – Удаление группы

После подтверждения удаления нажатием кнопки Да в диалоговом окне группа будет удалена.