Capítulo 25. Configuração de IdM para provisionamento externo dos usuários
Como administrador do sistema, você pode configurar o Gerenciamento de Identidade (IdM) para apoiar o provisionamento dos usuários por uma solução externa de gerenciamento de identidades.
Ao invés de usar o utilitário ipa
, o administrador do sistema de provisionamento externo pode acessar o IdM LDAP usando o utilitário ldapmodify
. O administrador pode adicionar usuários individuais da CLI usando o ldapmodify ou usando um arquivo LDIF.
A suposição é que você, como administrador da IdM, confia plenamente em seu sistema de provisionamento externo para adicionar apenas usuários validados. Entretanto, ao mesmo tempo, você não quer atribuir aos administradores do sistema de provisionamento externo o papel de IdM de User Administrator
para permitir que eles adicionem novos usuários ativos diretamente.
Você pode configurar um script para mover automaticamente os usuários encenados criados pelo sistema de provisionamento externo para usuários ativos.
Este capítulo contém estas seções:
- Preparando o Gerenciamento de Identidade (IdM ) para usar um sistema de provisionamento externo para adicionar usuários de palco ao IdM.
- Criação de um script para mover os usuários adicionados pelo sistema de provisionamento externo do estágio para usuários ativos.
Usando um sistema de provisionamento externo para adicionar um usuário da etapa IdM. Você pode fazer isso de duas maneiras:
Materiais adicionais
Para exemplos e modelos para usar ldapmodify
como um administrador completo da IdM para realizar operações de gerenciamento de usuários e grupos que requerem maiores privilégios, veja Usando ldapmodify.
25.1. Preparação de contas IdM para ativação automática de contas de usuários de palco
Este procedimento mostra como configurar duas contas de usuário IdM para serem utilizadas por um sistema de provisionamento externo. Ao adicionar as contas a um grupo com uma política de senha apropriada, você habilita o sistema de provisionamento externo para gerenciar o provisionamento de usuários no IdM. A seguir, a conta de usuário a ser usada pelo sistema externo para adicionar usuários em estágio é denominada provisionator. A conta de usuário a ser usada para ativar automaticamente os usuários da etapa é nomeada activator.
Pré-requisitos
- O anfitrião no qual você realiza o procedimento está inscrito na IdM.
Procedimento
Entrar como administrador da IdM:
$ parentes admin
Criar um usuário chamado provisionator com os privilégios de adicionar usuários de palco.
- Adicionar a conta de usuário do provisionador:
$ ipa usuário-adicionador de provisão --first=provisionamento --last=conta --palavra-palavra
Conceder ao usuário do provisionador os privilégios necessários.
Criar uma função personalizada,
System Provisioning
, para gerenciar a adição de usuários de palco:$ ipa role-add --desc "Responsável pelos usuários da fase de provisionamento" "Provisionamento do sistema"
Acrescente o privilégio
Stage User Provisioning
ao papel. Este privilégio proporciona a capacidade de adicionar usuários de palco:$ ipa role-add-privilege" --privileges="Stage User Provisioning"
Adicionar o usuário provisionador à função:
$ ipa role-add-member --usuários=provisionador {\i1}"System Provisioning
- Verificar se o provisionador existe na IdM:
$ ipa user-find provisionator --all --raw -------------- 1 user matched -------------- dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com uid: provisionator [...]
Criar um usuário, activator, com os privilégios de gerenciar contas de usuário.
Adicionar a conta do usuário ativador:
$ ipa ativador-adicionado pelo usuário --first=ativação --last=conta --palavra-palavra
Conceder ao usuário ativador os privilégios necessários, adicionando o usuário à função padrão
User Administrator
:$ ipa role-add-member --usuários=ativador {\i1}"Administrador de usuários
Criar um grupo de usuários para contas de aplicação:
Contas de aplicação de $ ipa group-add
Atualizar a política de senhas para o grupo. A seguinte política impede a expiração e bloqueio da conta por senha, mas compensa os riscos potenciais ao exigir senhas complexas:
$ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --história=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
(Opcional) Verificar se a política de senha existe na IdM:
$ ipa pwpolicy-show application-accounts Group: application-accounts Max lifetime (days): 10000 Min lifetime (hours): 0 History size: 0 [...]
Adicionar as contas de provisionamento e ativação ao grupo para contas de aplicação:
$ ipa grupo-add-member application-accounts --usuários={provisionador,ativador}
Alterar as senhas para as contas dos usuários:
$ kpasswd provisionator $ kpasswd activator
A mudança das senhas é necessária porque as novas senhas de usuários IdM expiram imediatamente.
Recursos adicionais:
- Para detalhes sobre como adicionar novos usuários, consulte Gerenciando contas de usuários usando a linha de comando.
- Para detalhes sobre a concessão aos usuários dos privilégios necessários para gerenciar outras contas de usuários, consulte Delegando permissões sobre os usuários.
- Para detalhes sobre o gerenciamento das políticas de senhas da IdM, consulte Definindo as políticas de senhas da IdM.