11.4. ldapmodify を使用した CLI からの IdM ステージユーザーの直接追加
Identity Management (IdM) LDAP にアクセスし、ldapmodify
ユーティリティーを使用してステージユーザーを追加するには、次の手順に従います。
前提条件
- IdM 管理者が、provisionator アカウントおよびパスワードを作成している。詳細は ステージユーザーアカウントの自動アクティベーション用の IdM アカウントの準備 を参照してください。
- 外部管理者が provisionator アカウントのパスワードを知っている。
- LDAP サーバーから IdM サーバーに SSH 接続できる。
以下のような、ユーザーのライフサイクルを正しく処理できるように IdM ステージユーザーに割り当てる必要のある最小限の属性セットを提供できる。
-
識別名
(dn) -
共通名
(cn) -
名前 (姓)
(sn) -
uid
-
手順
IdM の ID および認証情報を使用して、
SSH
プロトコルを使用して IdM サーバーに接続します。$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
新規ステージユーザーを追加するロールを持つ IdM ユーザーである provisionator アカウントの TGT を取得します。
$ kinit provisionator
ldapmodify
コマンドを入力し、Generic Security Services API (GSSAPI) を認証に使用する Simple Authentication and Security Layer (SASL) メカニズムとして指定します。IdM サーバーとポート名を指定します。# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
追加するユーザーの
dn
を入力します。dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
実行する変更の種類として add を入力します。
changetype: add
ユーザーのライフサイクルを正しく処理できるようにするために必要な LDAP オブジェクトクラスのカテゴリーを指定します。
objectClass: top objectClass: inetorgperson
追加のオブジェクトクラスを指定できます。
ユーザーの
uid
を入力します。uid: stageuser
ユーザーの
cn
を入力します。cn: Babs Jensen
ユーザーの名前 (姓) を入力します。
sn: Jensen
Enter
を再度押して、これがエントリーの最後であることを確認します。[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- Ctrl + C を使用して接続を終了します。
検証
ステージエントリーの内容を検証し、プロビジョニングシステムにより、必要な全 POSIX 属性が追加され、ステージエントリーのアクティベートの準備ができていることを確認します。
新規ステージユーザーの LDAP 属性を表示するには、
ipa stageuser-show --all --raw
コマンドを実行します。$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
ユーザーは、
nsaccountlock
属性を使用して明示的に無効化されている点に注意してください。
-
ユーザーは、