48.2. Utilisation des dérogations d'ID pour permettre aux utilisateurs d'AD d'administrer l'IdM
Cette procédure décrit la création et l'utilisation d'un remplacement d'ID pour un utilisateur AD afin de lui donner des droits identiques à ceux d'un utilisateur IdM. Au cours de cette procédure, travaillez sur un serveur IdM configuré en tant que contrôleur de confiance ou agent de confiance.
Conditions préalables
- Un environnement IdM fonctionnel est mis en place. Pour plus de détails, voir Installation de la gestion des identités.
- Une confiance fonctionnelle est établie entre votre environnement IdM et AD.
Procédure
En tant qu'administrateur IdM, créez un ID override pour un utilisateur AD dans le site Default Trust View. Par exemple, pour créer un ID override pour l'utilisateur
ad_user@ad.example.com
:# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
Ajoutez l'ID override du site Default Trust View en tant que membre d'un groupe IdM. Il doit s'agir d'un groupe non-POSIX, car il interagit avec Active Directory.
Si le groupe en question est membre d'un rôle IdM, l'utilisateur AD représenté par l'ID override obtient toutes les autorisations accordées par le rôle lors de l'utilisation de l'API IdM, y compris l'interface de ligne de commande et l'interface web IdM.
Par exemple, pour ajouter le remplacement de l'ID de l'utilisateur
ad_user@ad.example.com
au groupe IdMadmins
:# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com
Vous pouvez également ajouter l'annulation de l'ID à un rôle, tel que le rôle User Administrator:
# ipa role-add-member 'User Administrator' --idoverrideusers=ad_user@ad.example.com
Ressources supplémentaires