Назад | Перейти на главную страницу

Как игнорировать / отбрасывать группы AD в FreeIPA

У меня есть тестовый экземпляр FreeIPA версии 4.6.4, установленный на CentOS 7 из репозиториев дистрибутива по умолчанию. Я настроил его на одностороннее доверие к развертыванию Active Directory. На стороне клиента я установил и настроил пакет freeipa-client версии 4.7.0 на Ubuntu 18.04. Все это в основном работает так, как рекламируется в соответствии с документами.

Однако когда я вхожу в клиент с учетной записью AD и запускаю id , я вижу в списке все мои группы AD. Есть ли способ, чтобы FreeIPA полностью игнорировал все группы из AD при работе с внешними пользователями? Конечная цель (и дайте мне знать, если это выходит за рамки возможностей FreeIPA) - игнорировать / отбрасывать все группы в AD и вместо этого управлять пользователями группами в FreeIPA.

Я попытался добавить эти параметры в раздел домена sssd.conf на сервере FreeIPA, но они не возымели никакого эффекта, и я подозреваю, что не совсем понимаю, для чего они нужны:

ignore_group_members = True
subdomain_inherit = ignore_group_members

Спасибо за любой совет, даже если это «эй, не делай этого».