25.4. Adicionando um usuário da etapa IdM diretamente da CLI usando a ldapmodify
Esta seção descreve como um administrador de um sistema de provisionamento externo pode acessar o LDAP de Gerenciamento de Identidade (IdM) e usar o utilitário ldapmodify
para adicionar um usuário em fase.
Pré-requisitos
- O administrador da IdM criou a conta provisionator e uma senha para ela. Para detalhes, consulte Preparação de contas IdM para ativação automática das contas de usuários em estágio.
- Você, como administrador externo, sabe a senha da conta provisionator.
- Você pode SSH para o servidor IdM a partir de seu servidor LDAP.
Você é capaz de fornecer o conjunto mínimo de atributos que um usuário da etapa IdM deve ter para permitir o processamento correto do ciclo de vida do usuário, a saber
-
O
distinguished name
(dn) -
O
common name
(cn) -
O
last name
(sn) -
O
uid
-
O
Procedimento
Use o protocolo
SSH
para conectar-se ao servidor IdM usando sua identidade e credenciais IdM:$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
Obter o TGT da conta provisionator, um usuário IdM com um papel para adicionar novos usuários em palco:
Provisor de parentesco
Digite o comando
ldapmodify
e especifique Generic Security Services API (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação. Especifique o nome do servidor IdM e a porta:# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
Digite o
dn
do usuário que você está adicionando:dn: uid=usuário de palco,cn=usuário de palco,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com
Digite add como o tipo de mudança que você está realizando:
tipo de mudança: adicionar
Especificar as categorias de classe de objetos LDAP necessárias para permitir o processamento correto do ciclo de vida do usuário:
objectClass: top objectClass: inetorgperson
Você pode especificar classes de objetos adicionais.
Entre no site
uid
do usuário:uid: usuário de palco
Entre no site
cn
do usuário:cn: Babs Jensen
Digite o sobrenome do usuário:
sn: Jensen
Pressione
Enter
novamente para confirmar que este é o fim da entrada:[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- Sair da conexão usando Ctrl C .
Etapas de verificação
Verifique o conteúdo da entrada de fase para ter certeza de que seu sistema de provisionamento adicionou todos os atributos POSIX necessários e que a entrada de fase está pronta para ser ativada.
Para exibir os novos atributos LDAP do usuário da etapa, digite o comando
ipa stageuser-show --all --raw
:$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
Note que o usuário é explicitamente desabilitado pelo atributo
nsaccountlock
.
-
Note que o usuário é explicitamente desabilitado pelo atributo