Pesquisar

Capítulo 25. Configuração de IdM para provisionamento externo dos usuários

download PDF

Como administrador do sistema, você pode configurar o Gerenciamento de Identidade (IdM) para apoiar o provisionamento dos usuários por uma solução externa de gerenciamento de identidades.

Ao invés de usar o utilitário ipa, o administrador do sistema de provisionamento externo pode acessar o IdM LDAP usando o utilitário ldapmodify. O administrador pode adicionar usuários individuais da CLI usando o ldapmodify ou usando um arquivo LDIF.

A suposição é que você, como administrador da IdM, confia plenamente em seu sistema de provisionamento externo para adicionar apenas usuários validados. Entretanto, ao mesmo tempo, você não quer atribuir aos administradores do sistema de provisionamento externo o papel de IdM de User Administrator para permitir que eles adicionem novos usuários ativos diretamente.

Você pode configurar um script para mover automaticamente os usuários encenados criados pelo sistema de provisionamento externo para usuários ativos.

Este capítulo contém estas seções:

  1. Preparando o Gerenciamento de Identidade (IdM ) para usar um sistema de provisionamento externo para adicionar usuários de palco ao IdM.
  2. Criação de um script para mover os usuários adicionados pelo sistema de provisionamento externo do estágio para usuários ativos.
  3. Usando um sistema de provisionamento externo para adicionar um usuário da etapa IdM. Você pode fazer isso de duas maneiras:

Materiais adicionais

Para exemplos e modelos para usar ldapmodify como um administrador completo da IdM para realizar operações de gerenciamento de usuários e grupos que requerem maiores privilégios, veja Usando ldapmodify.

25.1. Preparação de contas IdM para ativação automática de contas de usuários de palco

Este procedimento mostra como configurar duas contas de usuário IdM para serem utilizadas por um sistema de provisionamento externo. Ao adicionar as contas a um grupo com uma política de senha apropriada, você habilita o sistema de provisionamento externo para gerenciar o provisionamento de usuários no IdM. A seguir, a conta de usuário a ser usada pelo sistema externo para adicionar usuários em estágio é denominada provisionator. A conta de usuário a ser usada para ativar automaticamente os usuários da etapa é nomeada activator.

Pré-requisitos

  • O anfitrião no qual você realiza o procedimento está inscrito na IdM.

Procedimento

  1. Entrar como administrador da IdM:

    $ parentes admin
  2. Criar um usuário chamado provisionator com os privilégios de adicionar usuários de palco.

    1. Adicionar a conta de usuário do provisionador:
    $ ipa usuário-adicionador de provisão --first=provisionamento --last=conta --palavra-palavra
    1. Conceder ao usuário do provisionador os privilégios necessários.

      1. Criar uma função personalizada, System Provisioning, para gerenciar a adição de usuários de palco:

        $ ipa role-add --desc "Responsável pelos usuários da fase de provisionamento" "Provisionamento do sistema"
      2. Acrescente o privilégio Stage User Provisioning ao papel. Este privilégio proporciona a capacidade de adicionar usuários de palco:

        $ ipa role-add-privilege" --privileges="Stage User Provisioning"
      3. Adicionar o usuário provisionador à função:

        $ ipa role-add-member --usuários=provisionador {\i1}"System Provisioning
      4. Verificar se o provisionador existe na IdM:
      $ ipa user-find provisionator --all --raw
      --------------
      1 user matched
      --------------
        dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
        uid: provisionator
        [...]
  3. Criar um usuário, activator, com os privilégios de gerenciar contas de usuário.

    1. Adicionar a conta do usuário ativador:

      $ ipa ativador-adicionado pelo usuário --first=ativação --last=conta --palavra-palavra
    2. Conceder ao usuário ativador os privilégios necessários, adicionando o usuário à função padrão User Administrator:

      $ ipa role-add-member --usuários=ativador {\i1}"Administrador de usuários
  4. Criar um grupo de usuários para contas de aplicação:

    Contas de aplicação de $ ipa group-add
  5. Atualizar a política de senhas para o grupo. A seguinte política impede a expiração e bloqueio da conta por senha, mas compensa os riscos potenciais ao exigir senhas complexas:

    $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --história=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
  6. (Opcional) Verificar se a política de senha existe na IdM:

    $ ipa pwpolicy-show application-accounts
      Group: application-accounts
      Max lifetime (days): 10000
      Min lifetime (hours): 0
      History size: 0
    [...]
  7. Adicionar as contas de provisionamento e ativação ao grupo para contas de aplicação:

    $ ipa grupo-add-member application-accounts --usuários={provisionador,ativador}
  8. Alterar as senhas para as contas dos usuários:

    $ kpasswd provisionator
    $ kpasswd activator

    A mudança das senhas é necessária porque as novas senhas de usuários IdM expiram imediatamente.

Recursos adicionais:

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.