Création d'une règle de mappage (CLI)

Langue :

Utilisez la procédure suivante pour accorder ou refuser des informations d'identification à des utilisateurs spécifiques par le biais du service de mappage des identités. Une règle de mappage d'autorisation accorde à l'identité Windows des informations d'identification à partir d'une identité UNIX ou vice versa. Une règle de mappage de refus empêche une identité Windows de recevoir les informations d'identification d'une identité UNIX ou vice versa.

Remarque - Si vous créez une règle de mappage qui bloque un utilisateur particulier et que le nom de l'utilisateur est modifié, le mappage ne bloque plus cet utilisateur.

Avant de commencer

Configurez un mappage basé sur une règle, comme indiqué dans la section Configuration du mappage des identités (CLI).

Accédez à configuration services idmap.

Saisissez create.

hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)>

Définissez les propriétés de manière appropriée.
Vous pouvez utiliser la commande list pour afficher les propriétés disponibles.
```
hostname:configuration services idmap (uncommitted)> list
Properties:
                     windomain = (unset)
                       winname = (unset)
                     direction = (unset)
                      unixname = (unset)
                      unixtype = (unset)
```
1. windomain : domaine Active Directory de l'identité Windows.
2. winname : définir sur l'une des options. suivantes :
  - Pour créer un mappage d'autorisation, attribuez à winname le nom de l'identité Windows.
    Saisissez * pour indiquer tous les utilisateurs au sein du domaine spécifié.
  - Pour créer un mappage de refus qui empêche une identité UNIX de recevoir les informations d'identification d'une identité Windows, définissez la propriété avec le nom de l'identité Windows.
  - Pour créer un mappage de refus qui empêche une identité Windows de recevoir les informations d'identification d'une identité UNIX, ne définissez pas winname.
3. direction : définir sur le sens du mappage :
  - win2unix : mappage de Windows à UNIX
  - unix2win : mappage d'UNIX à Windows
  - bi : mappage bidirectionnel
4. winname : définir sur l'une des options suivantes :
  - Pour créer un mappage d'autorisation, définissez la propriété avec le nom de l'identité UNIX, ou saisissez * pour indiquer tous les utilisateurs du type spécifié.
  - Pour créer un mappage de refus qui empêche une identité Windows de recevoir les informations d'identification d'une identité UNIX, définissez la propriété avec le nom de l'identité UNIX.
  - Pour créer un mappage de refus qui empêche une identité UNIX de recevoir les informations d'identification d'une identité Windows, ne définissez pas unixname.
5. unixtype : définir sur user ou group comme type d'identité UNIX.
```
hostname:configuration services idmap (uncommitted)> set windomain=demo.domain.com
hostname:configuration services idmap (uncommitted)> set winname=*
hostname:configuration services idmap (uncommitted)> set direction=win2unix
hostname:configuration services idmap (uncommitted)> set unixname=
hostname:configuration services idmap (uncommitted)> set unixtype=user
```

Saisissez commit pour valider les modifications et créer la règle de mappage.

hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap>

Vous pouvez utiliser la commande list pour afficher la nouvelle règle dans la liste Règles.

hostname:configuration services idmap> list

MAPPING      WINDOWS ENTITY              DIRECTION        UNIX ENTITY
idmap-000    Alice@demo.domain.com       (U) ==           wdp (U)
idmap-001    *@demo.domain.com           (U) =>    "" (U)

Exemple 13 Création d'un mappage bidirectionnel (CLI)

Cet exemple crée un mappage bidirectionnel basé sur un nom entre un utilisateur Windows et un utilisateur UNIX.

hostname:> configuration services idmap 
hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)> set
   windomain=eng.fishworks.com
hostname:configuration services idmap (uncommitted)> set winname=Bill
hostname:configuration services idmap (uncommitted)> set direction=bi 
hostname:configuration services idmap (uncommitted)> set unixname=wdp
hostname:configuration services idmap (uncommitted)> set unixtype=user 
hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap> list
MAPPING      WINDOWS ENTITY                    DIRECTION    UNIX ENTITY
idmap-000    Bill@eng.fishworks.com        (U) ==           wdp (U)

Exemple 14 Création d'un mappage de refus (CLI)

L'exemple suivant créé un mappage de refus pour empêcher tous les utilisateurs Windows d'un domaine d'obtenir des informations d'identification.

hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)> list
Properties:
                     windomain = (unset)
                       winname = (unset)
                     direction = (unset)
                      unixname = (unset)
                      unixtype = (unset)

hostname:configuration services idmap (uncommitted)> set
   windomain=guest.fishworks.com
hostname:configuration services idmap (uncommitted)> set winname=*
hostname:configuration services idmap (uncommitted)> set direction=win2unix 
hostname:configuration services idmap (uncommitted)> set unixname=
hostname:configuration services idmap (uncommitted)> set unixtype=user 
hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap> list
MAPPING      WINDOWS ENTITY                    DIRECTION    UNIX ENTITY
idmap-000    Bill@eng.fishworks.com        (U) ==           wdp (U)
idmap-001    *@guest.fishworks.com         (U) =>           "" (U)