Creación de reglas de asignación (CLI)

Idioma:

Use el siguiente procedimiento para otorgar o denegar credenciales para usuarios específicos mediante el servicio de asignación de identidades. Una regla de asignación de autorización otorga credenciales de identidad de Windows a partir de una identidad de UNIX o viceversa. Una regla de asignación de denegación bloquea una identidad de Windows para evitar que reciba las credenciales de una identidad de UNIX o viceversa.

Notas - Si crea una regla de asignación que bloquea a un usuario en particular y después el nombre de ese usuario se modifica, la asignación deja de bloquearlo.

Antes de empezar

Configure la asignación basada en reglas como se describe en Configuración de asignación de identidades (CLI).

Vaya a configuration services idmap.

Introduzca create.

hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)>

Configure las propiedades según corresponda.
Puede utilizar el comando list para ver una lista de las propiedades disponibles.
```
hostname:configuration services idmap (uncommitted)> list
Properties:
                     windomain = (unset)
                       winname = (unset)
                     direction = (unset)
                      unixname = (unset)
                      unixtype = (unset)
```
1. windomain: dominio de Active Directory de la identidad de Windows.
2. winname: configure esta propiedad con una de las siguientes opciones.
  - Para crear una asignación de autorización, configure winname con el nombre de la identidad de Windows.
    Introduzca * para indicar todos los usuarios del dominio especificado.
  - Para crear una asignación de denegación que impida que una identidad de UNIX reciba las credenciales de una identidad de Windows, configure el nombre de la identidad de Windows.
  - Para crear una asignación de denegación que impida que una identidad de Windows reciba las credenciales de una identidad de UNIX, no configure winname.
3. direction: configure esta propiedad con la dirección de la asignación.
  - win2unix: asignación de Windows a UNIX
  - unix2win: asignación de UNIX a Windows
  - bi: asignación bidireccional
4. unixname: configure esta propiedad con una de las siguientes opciones.
  - Para crear una asignación de autorización, configure el nombre de la identidad de UNIX o introduzca * para indicar todos los usuarios del tipo especificado.
  - Para crear una asignación de denegación que impida que una identidad de Windows reciba las credenciales de una identidad de UNIX, configure el nombre de la identidad de UNIX.
  - Para crear una asignación de denegación que impida que una identidad de UNIX reciba las credenciales de una identidad de Windows, no configure unixname.
5. unixtype: configure esta propiedad con el valor user o group para definir el tipo de identidad de UNIX.
```
hostname:configuration services idmap (uncommitted)> set windomain=demo.domain.com
hostname:configuration services idmap (uncommitted)> set winname=*
hostname:configuration services idmap (uncommitted)> set direction=win2unix
hostname:configuration services idmap (uncommitted)> set unixname=
hostname:configuration services idmap (uncommitted)> set unixtype=user
```

Introduzca commit para confirmar los cambios y crear la regla de asignación.

hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap>

Puede usar el comando list para ver la nueva regla en la lista Reglas.

hostname:configuration services idmap> list

MAPPING      WINDOWS ENTITY              DIRECTION        UNIX ENTITY
idmap-000    Alice@demo.domain.com       (U) ==           wdp (U)
idmap-001    *@demo.domain.com           (U) =>    "" (U)

Ejemplo 2 Creación de asignaciones bidireccionales (CLI)

En este ejemplo, se crea una asignación bidireccional basada en nombres entre un usuario de Windows y un usuario de UNIX.

hostname:> configuration services idmap 
hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)> set
   windomain=eng.fishworks.com
hostname:configuration services idmap (uncommitted)> set winname=Bill
hostname:configuration services idmap (uncommitted)> set direction=bi 
hostname:configuration services idmap (uncommitted)> set unixname=wdp
hostname:configuration services idmap (uncommitted)> set unixtype=user 
hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap> list
MAPPING      WINDOWS ENTITY                    DIRECTION    UNIX ENTITY
idmap-000    Bill@eng.fishworks.com        (U) ==           wdp (U)

Ejemplo 3 Creación de asignaciones de denegación (CLI)

En este ejemplo, se crea una asignación de denegación para impedir que todos los usuarios de Windows de un dominio obtengan credenciales.

hostname:configuration services idmap> create
hostname:configuration services idmap (uncommitted)> list
Properties:
                     windomain = (unset)
                       winname = (unset)
                     direction = (unset)
                      unixname = (unset)
                      unixtype = (unset)

hostname:configuration services idmap (uncommitted)> set
   windomain=guest.fishworks.com
hostname:configuration services idmap (uncommitted)> set winname=*
hostname:configuration services idmap (uncommitted)> set direction=win2unix 
hostname:configuration services idmap (uncommitted)> set unixname=
hostname:configuration services idmap (uncommitted)> set unixtype=user 
hostname:configuration services idmap (uncommitted)> commit
hostname:configuration services idmap> list
MAPPING      WINDOWS ENTITY                    DIRECTION    UNIX ENTITY
idmap-000    Bill@eng.fishworks.com        (U) ==           wdp (U)
idmap-001    *@guest.fishworks.com         (U) =>           "" (U)