40.4. ldapmodify를 사용하여 CLI에서 직접 IdM 단계 사용자 추가
다음 절차에 따라 IdM(Identity Management) LDAP에 액세스하고 ldapmodify
유틸리티를 사용하여 스테이징 사용자를 추가합니다.
사전 요구 사항
- IdM 관리자가 프로비저너 계정 과 암호를 생성했습니다. 자세한 내용은 단계 사용자 계정 자동 활성화를 위한 IdM 계정 준비를 참조하십시오.
- 외부 관리자가 프로비저너 계정의 암호를 알고 있습니다.
- LDAP 서버에서 IdM 서버에 SSH로 연결할 수 있습니다.
IdM 단계 사용자가 사용자 라이프사이클의 올바른 처리를 허용해야 하는 최소한의 속성 세트를 제공할 수 있습니다.
-
고유 이름
(dn) -
일반 이름
(cn) -
성
(sn) -
uid
-
절차
IdM ID 및 자격 증명을 사용하여
SSH
프로토콜을 사용하여 IdM 서버에 연결합니다.$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
새 단계 사용자를 추가하는 역할의 IdM 사용자인 프로비저너 계정의 TGT를 가져옵니다.
$ kinit provisionator
ldapmodify
명령을 입력하고 인증에 사용할 SASL(Simple Authentication and Security Layer) 메커니즘으로 GSSAPI(Generic Security Services API)를 지정합니다. IdM 서버 이름 및 포트를 지정합니다.# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
추가하려는 사용자의
dn
을 입력합니다.dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
수행 중인 변경 유형으로 add 를 입력합니다.
changetype: add
사용자 라이프 사이클의 올바른 처리를 허용하는 데 필요한 LDAP 오브젝트 클래스 범주를 지정합니다.
objectClass: top objectClass: inetorgperson
추가 오브젝트 클래스를 지정할 수 있습니다.
사용자의
uid
를 입력합니다.uid: stageuser
사용자의
cn
을 입력합니다.cn: Babs Jensen
사용자의 성을 입력합니다.
sn: Jensen
Enter
를 다시 눌러 이것이 항목의 끝인지 확인합니다.[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- Ctrl + C 를 사용하여 연결을 종료합니다.
검증 단계
stage 항목의 콘텐츠를 확인하여 프로비저닝 시스템에서 필요한 모든 POSIX 특성을 추가하고 stage 항목을 활성화할 준비가 되었는지 확인합니다.
새 stage 사용자의 LDAP 속성을 표시하려면
ipa stageuser-show --all --raw
명령을 입력합니다.$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
사용자는
nsaccountlock
특성에 의해 명시적으로 비활성화됩니다.
-
사용자는