Централизованное управление размещением домашних каталогов в доменах FreeIPA

По умолчанию корневым каталогом домашних каталогов доменных пользователей домена FreeIPA является каталог /home. Такое расположение корневого каталога задается глобальным параметром ipahomesrootdir в конфигурации контроллера домена. Получить или изменить значение этого параметра можно в web-интерфейсе FreeIPA ("IPA-сервер" → "Конфигурация", параметр "Основа домашних каталогов") или с помощью интерфейса командной строки:

• получить значение:

  ipa config-show --raw | grep home
  

  ---

  ipahomesrootdir: /home

• изменить значение:

  ipa config-mod --homedirectory <новое значение>

Заданное в конфигурации контроллера домена значение определяет корень размещения домашних каталогов, то есть домашний каталог для значения /home будет иметь вид /home/<имя_пользователя>. Заданное в конфигурации контроллера домена значение может быть переопределено локально (см. ниже).

Локальное управление размещением домашних каталогов в доменах

Локальное управление размещением домашних каталогов средствами sssd

Локально изменить правила именования домашних каталогов доменных пользователей можно в конфигурации службы sssd (файл /etc/sssd/sssd.conf), указав в секции настроек службы nss или в секции настроек домена следующие параметры:

• override_homedir — строка, переопределяющая размещение домашних каталогов. По умолчанию не используется (используется значение, переданное контроллером домена). Указывается как абсолютный путь к домашнему каталогу, при этом могут использоваться следующие подстановки:
  • %u — имя, использованное для входа;
  • %U — числовой идентификатор пользователя;
  • %d — имя домена;f 
  • %f – полное имя пользователя с доменной составляющей;
  • %l — первая буква имени, использованного для входа;
  • %P — имя принципала Kerberos (UPN, обычно - полное имя пользователя с доменной составляющей, написанной заглавными буквами);
  • %o — оригинальное имя домашнего каталога, полученное от контроллера домена;
  • %h — оригинальное имя домашнего каталога, полученное от контроллера домена, написанное строчными буквами;
  • %H — значение параметра homedir_substring (см. далее);
  • %% — символ процента;

• homedir_substring — используется для подстановки в значение параметра override_homedir если оно содержит %H. По умолчанию используется значение  /home.

• fallback_homedir — используется для выбора домашнего каталога, для которого домашний каталог не задан контроллером домена. Поддерживает такие же подстановки, как параметр override_homedir.

Для имен домашних каталогов доменных пользователей рекомендуется использовать доменную составляющую, например:

• каталоги вида /home/<имя_пользователя>@<имя_домена>:
  

  override_homedir = /home/%u@%d

• каталоги вида /home/<имя_домена>/<имя_пользователя>:
  

  override_homedir = /home/%d/%u

Локальное управление размещением домашних каталогов средствами sssd + sss_override в доменах Windows AD

Инструмент sss_override позволяет создать клиентское переопределение некоторых параметров пользователей и групп. Такое переопределение действует только локально. Данные для переопределений хранятся в кеше sssd, и при удалении кеша будут утеряны. 

Для того, чтобы первое добавленное переопределение вступило в силу требуется перезапустить службу sssd (о необходимости перезапуска выдается предупреждение).

Вариант переопределения домашнего каталога пользователя с помощью sss_override:

Подробная справка по возможным параметрам команды доступна в справочной системе man.