87.4. AD 사용자가 IdM CLI에서 올바른 명령을 수행할 수 있는지 확인
이 절차에서는 AD(Active Directory) 사용자가 IdM(Identity Management) CLI(명령줄 인터페이스)에 로그인하고 역할에 적합한 명령을 실행할 수 있는지 확인합니다.
IdM 관리자의 현재 Kerberos 티켓을 삭제합니다.
# kdestroy -A
참고MIT Kerberos의 GSSAPI 구현에서 기본 설정에 따라 대상 서비스의 자격 증명을 선택하기 때문에 Kerberos 티켓 제거가 필요합니다. 이 경우에는 IdM 영역입니다. 즉, 자격 증명 캐시 컬렉션, 즉
KCM:
,KEYRING:
또는DIR:
자격 증명 캐시 유형이 사용 중인 경우 이전에 획득한admin
또는 기타 IdM 주체의 자격 증명이 AD 사용자의 자격 증명 대신 IdM API에 사용됩니다.ID 재정의가 생성된 AD 사용자의 Kerberos 자격 증명을 가져옵니다.
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
AD 사용자의 ID 재정의가 해당 그룹의 IdM 그룹과 IdM 그룹의 멤버십에서 발생하는 동일한 권한을 사용하는지 테스트합니다. AD 사용자의 ID 재정의가
admins
그룹에 추가된 경우 AD 사용자는 IdM에 그룹을 생성할 수 있습니다.# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011