48.4. Vérifier qu'un utilisateur AD peut exécuter des commandes correctes dans le CLI IdM
Cette procédure permet de vérifier qu'un utilisateur d'Active Directory (AD) peut se connecter à l'interface de ligne de commande (CLI) de Identity Management (IdM) et exécuter les commandes correspondant à son rôle.
Détruire le ticket Kerberos actuel de l'administrateur IdM :
# kdestroy -A
NoteLa destruction du ticket Kerberos est nécessaire parce que l'implémentation GSSAPI dans MIT Kerberos choisit de préférence des informations d'identification dans le domaine du service cible, qui dans ce cas est le domaine IdM. Cela signifie que si une collection de cache d'informations d'identification, à savoir le type de cache d'informations d'identification
KCM:
,KEYRING:
, ouDIR:
, est utilisée, les informations d'identification obtenues précédemment paradmin
ou tout autre principal IdM seront utilisées pour accéder à l'API IdM au lieu des informations d'identification de l'utilisateur AD.Obtenir les informations d'identification Kerberos de l'utilisateur AD pour lequel un remplacement d'ID a été créé :
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
Vérifier que l'ID override de l'utilisateur AD bénéficie des mêmes privilèges découlant de l'appartenance au groupe IdM que n'importe quel utilisateur IdM de ce groupe. Si l'ID override de l'utilisateur AD a été ajouté au groupe
admins
, l'utilisateur AD peut, par exemple, créer des groupes dans IdM :# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011