Оглавление |
---|
Предупреждение |
---|
Не рекомендуется использовать одинаковые имена для локальных и доменных пользователей. Astra Linux поддерживает работу с такими именами, однако совпадение имен пользователей может вести к нарушению работы прикладного ПО и организационным проблемам. |
Информация | ||
---|---|---|
| ||
|
Централизованное управление размещением домашних каталогов в доменах FreeIPA
По умолчанию корневым каталогом домашних каталогов доменных пользователей домена FreeIPA является каталог /home. Такое расположение корневого каталога задается глобальным параметром ipahomesrootdir в конфигурации контроллера домена. Получить или изменить значение этого параметра можно в web-интерфейсе FreeIPA ("IPA-сервер" → "Конфигурация", параметр "Основа домашних каталогов") или с помощью интерфейса командной строки:
получить значение:
Command Title ipa config-show --raw | grep home ipahomesrootdir: /home изменить значение:
Command ipa config-mod --homedirectory <новое значение>
Заданное в конфигурации контроллера домена значение определяет корень размещения домашних каталогов, то есть домашний каталог для значения /home будет иметь вид /home/<имя_пользователя>. Заданное в конфигурации контроллера домена значение может быть переопределено локально (см. ниже).
Локальное управление размещением домашних каталогов в доменах
Локальное управление размещением домашних каталогов средствами sssd
Информация |
---|
Данный вариант локального управления применим в любых доменах для клиентов, использующих sssd. Заданные таким образом изменения могут быть переопределены с помощью инструмента sss_override (см. ниже). |
Локально изменить правила именования домашних каталогов доменных пользователей можно в конфигурации службы sssd (файл /etc/sssd/ssdsssd.conf), указав в секции настроек службы nss или в секции настроек домена следующие параметры:
- override_homedir — строка, переопределяющая размещение домашних каталогов. По умолчанию не используется (используется значение, переданное контроллером домена). Указывается как абсолютный путь к домашнему каталогу, при этом могут использоваться следующие подстановки:
- %u — имя, использованное для входа;
- %U — числовой идентификатор пользователя;
- %d — имя домена;f
- %f – полное имя пользователя с доменной составляющей;
- %l — первая буква имени, использованного для входа;
- %P — имя принципала Kerberos (UPN, обычно - полное имя пользователя с доменной составляющей, написанной заглавными буквами);
- %o — оригинальное имя домашнего каталога, полученное от контроллера домена;
- %h — оригинальное имя домашнего каталога, полученное от контроллера домена, написанное строчными буквами;
- %H — значение параметра homedir_substring (см. далее);
- %% — символ процента;
homedir_substring — используется для подстановки в значение параметра override_homedir если оно содержит %H. По умолчанию используется значение /home.
fallback_homedir — используется для выбора домашнего каталога, для которого домашний каталог не задан контроллером домена. Поддерживает такие же подстановки, как параметр override_homedir.
Для имен домашних каталогов доменных пользователей рекомендуется использовать использовать доменную составляющую, например:
каталоги вида /home/<имя_пользователя>@<имя_домена>:
Блок кода override_homedir = /home/%u@%d
каталоги вида /home/<имя_домена>/<имя_пользователя>:
Блок кода override_homedir = /home/%d/%u
Локальное управление размещением домашних каталогов средствами sssd + sss_override в доменах Windows AD
Информация |
---|
В доменах FreeIPA команда sss_override не поддерживается. |
Инструмент sss_override позволяет создать клиентское переопределение некоторых параметров пользователей и групп. Такое переопределение действует только локально. Данные для переопределений хранятся в кеше sssd, и при удалении кеша будут утеряны.
Для того, чтобы первое добавленное переопределение вступило в силу требуется перезапустить службу sssd (о необходимости перезапуска выдается предупреждение).
Вариант переопределения домашнего каталога пользователя с помощью sss_override:
Command |
---|
sss_override user-add <имя_пользователя> -h <домашний_каталог_пользователя> |
Подробная справка по возможным параметрам команды доступна в справочной системе man.