9.4. ldapmodify での IdM ユーザーの保存
ldapmodify
を使用して IdM ユーザーを保存する (従業員が退職した後にユーザーアカウントを非アクティブ化する) には、次の手順に従います。
前提条件
- ユーザーを保存するロールが割り当てられた IdM ユーザーとして認証できる。
手順
ユーザーを保存するロールを持つ IdM ユーザーとしてログインします。
$ kinit admin
ldapmodify
コマンドを入力し、Generic Security Services API (GSSAPI) を認証に使用する Simple Authentication and Security Layer (SASL) メカニズムとして指定します。# ldapmodify -Y GSSAPI SASL/GSSAPI authentication started SASL username: admin@IDM.EXAMPLE.COM SASL SSF: 256 SASL data security layer installed.
保存するユーザーの
dn
を入力します。dn: uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com
実行する変更のタイプとして modrdn を入力します。
changetype: modrdn
ユーザーの newrdn を指定します。
newrdn: uid=user1
以下のようにユーザーの保存を指定します。
deleteoldrdn: 0
新しい上位 DN を指定します。
newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
ユーザーを保存すると、そのエントリーをディレクトリー情報ツリー (DIT) 内の新しい場所に移動します。上記の理由から、新しい親エントリーの DN を新しい上位 DN として指定する必要があります。
Enter
を再度押して、これがエントリーの最後であることを確認します。[Enter] modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com"
- Ctrl + C を使用して接続を終了します。
検証
保存済みユーザーをリスト表示して、ユーザーが保存されていることを確認します。
$ ipa user-find --preserved=true -------------- 1 user matched -------------- User login: user1 First name: First 1 Last name: Last 1 Home directory: /home/user1 Login shell: /bin/sh Principal name: user1@IDM.EXAMPLE.COM Principal alias: user1@IDM.EXAMPLE.COM Email address: user1@idm.example.com UID: 1997010003 GID: 1997010003 Account disabled: True Preserved user: True ---------------------------- Number of entries returned 1 ----------------------------