Groups of users Manage groups of users. By default, new groups are POSIX groups. You can add the --nonposix option to the group-add command to mark a new group as non-POSIX. You can use the --posix argument with the group-mod command to convert a non-POSIX group into a POSIX group. POSIX groups cannot be converted to non-POSIX groups. Every group must have a description. POSIX groups must have a Group ID (GID) number. Changing a GID is supported but can have an impact on your file permissions. It is not necessary to supply a GID when creating a group. IPA will generate one automatically if it is not provided. EXAMPLES: Add a new group: ipa group-add --desc='local administrators' localadmins Add a new non-POSIX group: ipa group-add --nonposix --desc='remote administrators' remoteadmins Convert a non-POSIX group to posix: ipa group-mod --posix remoteadmins Add a new POSIX group with a specific Group ID number: ipa group-add --gid=500 --desc='unix admins' unixadmins Add a new POSIX group and let IPA assign a Group ID number: ipa group-add --desc='printer admins' printeradmins Remove a group: ipa group-del unixadmins To add the "remoteadmins" group to the "localadmins" group: ipa group-add-member --groups=remoteadmins localadmins Add multiple users to the "localadmins" group: ipa group-add-member --users=test1 --users=test2 localadmins Remove a user from the "localadmins" group: ipa group-remove-member --users=test2 localadmins Display information about a named group. ipa group-show localadmins External group membership is designed to allow users from trusted domains to be mapped to local POSIX groups in order to actually use IPA resources. External members should be added to groups that specifically created as external and non-POSIX. Such group later should be included into one of POSIX groups. An external group member is currently a Security Identifier (SID) as defined by the trusted domain. When adding external group members, it is possible to specify them in either SID, or DOM\name, or name@domain format. IPA will attempt to resolve passed name to SID with the use of Global Catalog of the trusted domain. Example: 1. Create group for the trusted domain admins' mapping and their local POSIX group: ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external ipa group-add --desc='<ad.domain> admins' ad_admins 2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external group: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group: ipa group-add-member ad_admins --groups ad_admins_external 4. List members of external members of ad_admins_external group to see their SIDs: ipa group-show ad_admins_external
Группы пользователей Управление группами пользователей. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы. У каждой группы должно быть описание. У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически. ПРИМЕРЫ: Добавить новую группу: ipa group-add --desc='local administrators' localadmins Добавить новую не-POSIX-группу: ipa group-add --nonposix --desc='remote administrators' remoteadmins Преобразовать не-POSIX-группу в posix-группу: ipa group-mod --posix remoteadmins Добавить новую POSIX-группу с определённым ID группы: ipa group-add --gid=500 --desc='unix admins' unixadmins Добавить новую POSIX-группу и позволить IPA назначить ID группы: ipa group-add --desc='printer admins' printeradmins Удалить группу: ipa group-del unixadmins Чтобы добавить группу "remoteadmins" в группу "localadmins": ipa group-add-member --groups=remoteadmins localadmins Добавить нескольких пользователей в группу "localadmins": ipa group-add-member --users=test1 --users=test2 localadmins Удалить пользователя из группы "localadmins": ipa group-remove-member --users=test2 localadmins Показать сведения об именованной группе: ipa group-show localadmins Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из групп POSIX. В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена. Пример: 1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу: ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external ipa group-add --desc='<ad.domain> admins' ad_admins 2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins: ipa group-add-member ad_admins --groups ad_admins_external 4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID: ipa group-show ad_admins_external
Groups of users
Manage groups of users. By default, new groups are POSIX groups. You
can add the --nonposix option to the group-add command to mark a new group
as non-POSIX. You can use the --posix argument with the group-mod command
to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.
Every group must have a description.
POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.
EXAMPLES:
Add a new group:
ipa group-add --desc='local administrators' localadmins
Add a new non-POSIX group:
ipa group-add --nonposix --desc='remote administrators' remoteadmins
Convert a non-POSIX group to posix:
ipa group-mod --posix remoteadmins
Add a new POSIX group with a specific Group ID number:
ipa group-add --gid=500 --desc='unix admins' unixadmins
Add a new POSIX group and let IPA assign a Group ID number:
ipa group-add --desc='printer admins' printeradmins
Remove a group:
ipa group-del unixadmins
To add the "remoteadmins" group to the "localadmins" group:
ipa group-add-member --groups=remoteadmins localadmins
Add multiple users to the "localadmins" group:
ipa group-add-member --users=test1 --users=test2 localadmins
Remove a user from the "localadmins" group:
ipa group-remove-member --users=test2 localadmins
Display information about a named group.
ipa group-show localadmins
External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.
An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.
Example:
1. Create group for the trusted domain admins' mapping and their local POSIX group:
ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins
2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
group:
ipa group-add-member ad_admins_external --external 'AD\Domain Admins'
3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:
ipa group-add-member ad_admins --groups ad_admins_external
4. List members of external members of ad_admins_external group to see their SIDs:
ipa group-show ad_admins_external
Группы пользователей
Управление группами пользователей. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы.
У каждой группы должно быть описание.
У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически.
ПРИМЕРЫ:
Добавить новую группу:
ipa group-add --desc='local administrators' localadmins
Добавить новую не-POSIX-группу:
ipa group-add --nonposix --desc='remote administrators' remoteadmins
Преобразовать не-POSIX-группу в posix-группу:
ipa group-mod --posix remoteadmins
Добавить новую POSIX-группу с определённым ID группы:
ipa group-add --gid=500 --desc='unix admins' unixadmins
Добавить новую POSIX-группу и позволить IPA назначить ID группы:
ipa group-add --desc='printer admins' printeradmins
Удалить группу:
ipa group-del unixadmins
Чтобы добавить группу "remoteadmins" в группу "localadmins":
ipa group-add-member --groups=remoteadmins localadmins
Добавить нескольких пользователей в группу "localadmins":
ipa group-add-member --users=test1 --users=test2 localadmins
Удалить пользователя из группы "localadmins":
ipa group-remove-member --users=test2 localadmins
Показать сведения об именованной группе:
ipa group-show localadmins
Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из групп POSIX.
В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена.
Пример:
1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:
ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins
2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:
ipa group-add-member ad_admins_external --external 'AD\Domain Admins'
3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:
ipa group-add-member ad_admins --groups ad_admins_external
4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID:
ipa group-show ad_admins_external