我在 CentOS 7 上安装了 FreeIPA 版本 4.6.4 的测试实例,该实例来自发行版的默认存储库。我已将其配置为对 Active Directory 部署的单向信任。在客户端,我在 Ubuntu 18.04 上安装并配置了 freeipa-client 软件包版本 4.7.0。这一切基本上都按照文档中宣传的那样运行。
但是,当我使用 AD 帐户登录客户端并运行命令时id,我会看到列出的所有 AD 组。有没有办法让 FreeIPA 在处理外部用户时完全忽略来自 AD 的所有组?最终目标(如果这超出了 FreeIPA 的功能,请告诉我)是忽略/丢弃 AD 中的所有组,而是通过 FreeIPA 中的组来管理用户。
我确实尝试过的一件事是将这些选项添加到 FreeIPA 服务器上的域部分sssd.conf,但它们没有任何效果,而且我怀疑我不完全了解它们的用途:
ignore_group_members = True
subdomain_inherit = ignore_group_members
谢谢您的任何建议,即使是“嘿,不要那样做”。