Chapitre 11. Configuration de l'IdM pour le provisionnement externe des utilisateurs

PDF

En tant qu'administrateur système, vous pouvez configurer la gestion des identités (IdM) pour prendre en charge le provisionnement des utilisateurs par une solution externe de gestion des identités.

Plutôt que d'utiliser l'utilitaire ipa, l'administrateur du système de provisionnement externe peut accéder au LDAP IdM à l'aide de l'utilitaire ldapmodify. L'administrateur peut ajouter des utilisateurs de scène individuels à partir de l'interface de ligne de commande en utilisant ldapmodify ou en utilisant un fichier LDIF.

L'hypothèse est que vous, en tant qu'administrateur IdM, faites entièrement confiance à votre système de provisionnement externe pour n'ajouter que des utilisateurs validés. Toutefois, vous ne souhaitez pas attribuer aux administrateurs du système de provisionnement externe le rôle IdM de User Administrator pour leur permettre d'ajouter directement de nouveaux utilisateurs actifs.

Vous pouvez configurer un script pour déplacer automatiquement les utilisateurs en phase créés par le système de provisionnement externe vers des utilisateurs actifs.

Ce chapitre contient les sections suivantes :

Préparation de la gestion des identités (IdM) à l'utilisation d'un système de provisionnement externe pour ajouter des utilisateurs d'étape à IdM.
Création d'un script pour faire passer les utilisateurs ajoutés par le système de provisionnement externe du statut d'utilisateurs actifs à celui d'utilisateurs actifs.
Utilisation d'un système de provisionnement externe pour ajouter un utilisateur de l'étape IdM. Vous pouvez le faire de deux manières :
- Ajouter un utilisateur de l'étape IdM à l'aide d'un fichier LDIF
- Ajouter un utilisateur d'étape IdM directement à partir de l'interface de gestion en utilisant ldapmodify

11.1. Préparation des comptes IdM pour l'activation automatique des comptes d'utilisateurs de l'étape

Cette procédure montre comment configurer deux comptes d'utilisateur IdM pour qu'ils soient utilisés par un système de provisionnement externe. En ajoutant les comptes à un groupe avec une politique de mot de passe appropriée, vous permettez au système de provisionnement externe de gérer le provisionnement des utilisateurs dans IdM. Dans ce qui suit, le compte d'utilisateur à utiliser par le système externe pour ajouter des utilisateurs de stage est nommé provisionator. Le compte d'utilisateur à utiliser pour activer automatiquement les utilisateurs de l'étape est nommé activator.

Conditions préalables

L'hôte sur lequel vous effectuez la procédure est enrôlé dans IdM.

Procédure

Se connecter en tant qu'administrateur IdM :
```
kinit admin
```

Créez un utilisateur nommé provisionator avec les privilèges d'ajouter des utilisateurs de scène.

Ajouter le compte utilisateur du provisionneur :

ipa user-add provisionator --first=provisioning --last=account --password

Accorder à l'utilisateur du provisionneur les privilèges requis.

Créez un rôle personnalisé, System Provisioning, pour gérer l'ajout d'utilisateurs de l'étape :

$ ipa role-add --desc \N- "Responsable de l'approvisionnement des utilisateurs de l'étape\N" \N- "Provisionnement du système\N"

Ajoutez le privilège Stage User Provisioning au rôle. Ce privilège permet d'ajouter des utilisateurs de scène :

$ ipa role-add-privilege \N "System Provisioning" --privileges=\N "Stage User Provisioning" $ ipa role-add-privilege \N "System Provisioning" --privileges=\N "Stage User Provisioning"

Ajouter l'utilisateur du provisionneur au rôle :

$ ipa role-add-member --users=provisionator "System Provisioning"

Vérifier que le provisionneur existe dans IdM :

$ ipa user-find provisionator --all --raw
--------------
1 user matched
--------------
  dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
  uid: provisionator
  [...]

Créez un utilisateur, activator, avec les privilèges nécessaires pour gérer les comptes d'utilisateurs.
1. Ajouter le compte utilisateur de l'activateur :
```
$ ipa user-add activator --first=activation --last=account --password
```
2. Accordez à l'utilisateur de l'activateur les privilèges requis en ajoutant l'utilisateur au rôle par défaut User Administrator:
```
$ ipa role-add-member --users=activator "User Administrator"
```
Créer un groupe d'utilisateurs pour les comptes d'application :
```
ipa group-add application-accounts
```
Mettez à jour la politique de mot de passe pour le groupe. La politique suivante empêche l'expiration du mot de passe et le verrouillage du compte, mais compense les risques potentiels en exigeant des mots de passe complexes :
```
$ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
```

(Facultatif) Vérifier que la politique de mot de passe existe dans IdM :

$ ipa pwpolicy-show application-accounts
  Group: application-accounts
  Max lifetime (days): 10000
  Min lifetime (hours): 0
  History size: 0
[...]

Ajoutez les comptes de provisionnement et d'activation au groupe des comptes d'application :
```
$ ipa group-add-member application-accounts --users={provisionator,activator}
```
Modifier les mots de passe des comptes utilisateurs :
```
$ kpasswd provisionator
$ kpasswd activator
```
La modification des mots de passe est nécessaire car les mots de passe des nouveaux utilisateurs de l'IdM expirent immédiatement.

Ressources complémentaires :

Chapitre 11. Configuration de l'IdM pour le provisionnement externe des utilisateurs

11.1. Préparation des comptes IdM pour l'activation automatique des comptes d'utilisateurs de l'étape

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Rendre l’open source plus inclusif

À propos de Red Hat

Red Hat legal and privacy links

Red Hat legal and privacy links