Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

Capítulo 25. Configuración de IdM para el aprovisionamiento externo de usuarios

Como administrador del sistema, puede configurar la Gestión de Identidades (IdM) para que admita el aprovisionamiento de usuarios mediante una solución externa para la gestión de identidades.

En lugar de utilizar la utilidad ipa, el administrador del sistema de aprovisionamiento externo puede acceder al LDAP de IdM utilizando la utilidad ldapmodify. El administrador puede añadir usuarios de etapa individuales desde la CLI utilizando ldapmodify o utilizando un archivo LDIF.

Se supone que usted, como administrador de IdM, confía plenamente en su sistema de aprovisionamiento externo para que sólo añada usuarios validados. Sin embargo, al mismo tiempo no quiere asignar a los administradores del sistema de aprovisionamiento externo el rol de IdM de User Administrator para que puedan añadir nuevos usuarios activos directamente.

Puede configurar una secuencia de comandos para trasladar automáticamente los usuarios escalonados creados por el sistema de aprovisionamiento externo a usuarios activos.

Este capítulo contiene estas secciones:

  1. Preparar la gestión de identidades (IdM) para utilizar un sistema de aprovisionamiento externo para añadir usuarios de etapa a IdM.
  2. Creación de un script para mover los usuarios añadidos por el sistema de aprovisionamiento externo de la etapa a los usuarios activos.

  3. Utilizar un sistema de aprovisionamiento externo para añadir un usuario de etapa IdM. Puede hacerlo de dos maneras:

Materiales adicionales

Para ver ejemplos y plantillas para utilizar ldapmodify como administrador completo de IdM para realizar operaciones de gestión de usuarios y grupos que requieren privilegios superiores, consulte Uso de ldapmodify.

Este procedimiento muestra cómo configurar dos cuentas de usuario de IdM para que las utilice un sistema de aprovisionamiento externo. Al añadir las cuentas a un grupo con una política de contraseñas adecuada, se permite que el sistema de aprovisionamiento externo gestione el aprovisionamiento de usuarios en IdM. A continuación, la cuenta de usuario que utilizará el sistema externo para añadir usuarios de etapa se denomina provisionator. La cuenta de usuario que se utilizará para activar automáticamente los usuarios de escenario se denomina activator.

Requisitos previos

  • El host en el que se realiza el procedimiento está inscrito en IdM.

Procedimiento

  1. Inicie sesión como administrador de IdM: 

    $ kinit admin
    Copy to Clipboard Toggle word wrap

  2. Cree un usuario llamado provisionator con privilegios para añadir usuarios de escenario.

    1. Añade la cuenta de usuario del provisionador: 
    $ ipa user-add provisionator --first=provisioning --last=account --password
    Copy to Clipboard Toggle word wrap

    1. Conceder al usuario provisionador los privilegios necesarios.

      1. Cree un rol personalizado, System Provisioning, para gestionar la adición de usuarios del escenario: 

        $ ipa role-add --desc \ "Responsable de los usuarios de la etapa de aprovisionamiento" \ "Aprovisionamiento del sistema"
        Copy to Clipboard Toggle word wrap

      2. Añada el privilegio Stage User Provisioning al rol. Este privilegio proporciona la capacidad de añadir usuarios de escenario: 

        $ ipa role-add-privilege \ "System Provisioning" --privileges="Stage User Provisioning"
        Copy to Clipboard Toggle word wrap

      3. Añade el usuario provisionador al rol: 

        $ ipa role-add-member --users=provisionator \ "System Provisioning"
        Copy to Clipboard Toggle word wrap
      4. Verifique que el provisionador existe en IdM: 
      $ ipa user-find provisionator --all --raw
--------------
1 user matched
--------------
  dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  uid: provisionator
  [...]
      Copy to Clipboard Toggle word wrap

  3. Cree un usuario, activator, con los privilegios para gestionar las cuentas de usuario.

    1. Añade la cuenta de usuario del activador: 

      $ ipa user-add activator --first=activation --last=account --password
      Copy to Clipboard Toggle word wrap

    2. Conceda al usuario activador los privilegios necesarios añadiendo el usuario a la función predeterminada User Administrator: 

      $ ipa role-add-member --users=activator \ "User Administrator"
      Copy to Clipboard Toggle word wrap

  4. Cree un grupo de usuarios para las cuentas de la aplicación: 

    $ ipa group-add application-accounts
    Copy to Clipboard Toggle word wrap

  5. Actualice la política de contraseñas para el grupo. La siguiente política evita la caducidad de la contraseña y el bloqueo de la cuenta, pero compensa los posibles riesgos exigiendo contraseñas complejas: 

    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
    Copy to Clipboard Toggle word wrap

  6. (Opcional) Compruebe que la política de contraseñas existe en IdM: 

    $ ipa pwpolicy-show application-accounts
  Group: application-accounts
  Max lifetime (days): 10000
  Min lifetime (hours): 0
  History size: 0
[...]
    Copy to Clipboard Toggle word wrap

  7. Añade las cuentas de aprovisionamiento y activación al grupo de cuentas de aplicación: 

    $ ipa group-add-member application-accounts --users={provisionator,activator}
    Copy to Clipboard Toggle word wrap

  8. Cambie las contraseñas de las cuentas de usuario: 

    $ kpasswd provisionator
$ kpasswd activator
    Copy to Clipboard Toggle word wrap

    El cambio de las contraseñas es necesario porque las contraseñas de los nuevos usuarios de IdM caducan inmediatamente.

Recursos adicionales:

Volver arriba
Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2025 Red Hat