Pesquisar

25.4. Adicionando um usuário da etapa IdM diretamente da CLI usando a ldapmodify

download PDF

Esta seção descreve como um administrador de um sistema de provisionamento externo pode acessar o LDAP de Gerenciamento de Identidade (IdM) e usar o utilitário ldapmodify para adicionar um usuário em fase.

Pré-requisitos

  • O administrador da IdM criou a conta provisionator e uma senha para ela. Para detalhes, consulte Preparação de contas IdM para ativação automática das contas de usuários em estágio.
  • Você, como administrador externo, sabe a senha da conta provisionator.
  • Você pode SSH para o servidor IdM a partir de seu servidor LDAP.
  • Você é capaz de fornecer o conjunto mínimo de atributos que um usuário da etapa IdM deve ter para permitir o processamento correto do ciclo de vida do usuário, a saber

    • O distinguished name (dn)
    • O common name (cn)
    • O last name (sn)
    • O uid

Procedimento

  1. Use o protocolo SSH para conectar-se ao servidor IdM usando sua identidade e credenciais IdM:

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. Obter o TGT da conta provisionator, um usuário IdM com um papel para adicionar novos usuários em palco:

    Provisor de parentesco
  3. Digite o comando ldapmodify e especifique Generic Security Services API (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação. Especifique o nome do servidor IdM e a porta:

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. Digite o dn do usuário que você está adicionando:

    dn: uid=usuário de palco,cn=usuário de palco,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com
  5. Digite add como o tipo de mudança que você está realizando:

    tipo de mudança: adicionar
  6. Especificar as categorias de classe de objetos LDAP necessárias para permitir o processamento correto do ciclo de vida do usuário:

    objectClass: top
    objectClass: inetorgperson

    Você pode especificar classes de objetos adicionais.

  7. Entre no site uid do usuário:

    uid: usuário de palco
  8. Entre no site cn do usuário:

    cn: Babs Jensen
  9. Digite o sobrenome do usuário:

    sn: Jensen
  10. Pressione Enter novamente para confirmar que este é o fim da entrada:

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Sair da conexão usando Ctrl C .

Etapas de verificação

Verifique o conteúdo da entrada de fase para ter certeza de que seu sistema de provisionamento adicionou todos os atributos POSIX necessários e que a entrada de fase está pronta para ser ativada.

  • Para exibir os novos atributos LDAP do usuário da etapa, digite o comando ipa stageuser-show --all --raw:

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. Note que o usuário é explicitamente desabilitado pelo atributo nsaccountlock.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.