11.4. Ajout d'un utilisateur d'étape IdM directement à partir de l'interface de dialogue en ligne à l'aide de ldapmodify
Cette section décrit comment un administrateur d'un système de provisionnement externe peut accéder au LDAP de la gestion des identités (IdM) et utiliser l'utilitaire ldapmodify
pour ajouter un utilisateur de scène.
Conditions préalables
- L'administrateur IdM a créé le compte provisionator et un mot de passe. Pour plus de détails, voir Préparation des comptes IdM pour l'activation automatique des comptes d'utilisateurs de scène.
- En tant qu'administrateur externe, vous connaissez le mot de passe du compte provisionator.
- Vous pouvez accéder au serveur IdM par SSH à partir de votre serveur LDAP.
Vous êtes en mesure de fournir l'ensemble minimal d'attributs qu'un utilisateur de la phase IdM doit posséder pour permettre le traitement correct du cycle de vie de l'utilisateur, à savoir :
-
Le site
distinguished name
(dn) -
The
common name
(cn) -
The
last name
(sn) -
Les
uid
-
Le site
Procédure
Utilisez le protocole
SSH
pour vous connecter au serveur IdM en utilisant votre identité et vos informations d'identification IdM :$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
Obtenir le TGT du compte provisionator, un utilisateur IdM ayant le rôle d'ajouter de nouveaux utilisateurs de scène :
$ kinit provisionator
Entrez dans la commande
ldapmodify
et spécifiez Generic Security Services API (GSSAPI) comme mécanisme SASL (Simple Authentication and Security Layer) à utiliser pour l'authentification. Indiquez le nom du serveur IdM et le port :# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
Saisissez l'adresse
dn
de l'utilisateur que vous ajoutez :dn : uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
Saisissez add comme type de modification à effectuer :
changetype : add
Spécifier les catégories de classes d'objets LDAP requises pour permettre le traitement correct du cycle de vie de l'utilisateur :
objectClass: top objectClass: inetorgperson
Vous pouvez spécifier des classes d'objets supplémentaires.
Saisissez l'adresse
uid
de l'utilisateur :uid : stageuser
Saisissez l'adresse
cn
de l'utilisateur :cn : Babs Jensen
Saisissez le nom de famille de l'utilisateur :
sn : Jensen
Appuyez à nouveau sur
Enter
pour confirmer la fin de l'entrée :[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- Quittez la connexion en utilisant Ctrl C .
Verification steps
Vérifiez le contenu de l'entrée de scène pour vous assurer que votre système de provisionnement a ajouté tous les attributs POSIX requis et que l'entrée de scène est prête à être activée.
Pour afficher les attributs LDAP du nouvel utilisateur de l'étape, entrez la commande
ipa stageuser-show --all --raw
:$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
Notez que l'utilisateur est explicitement désactivé par l'attribut
nsaccountlock
.
-
Notez que l'utilisateur est explicitement désactivé par l'attribut