58.3. Gerenciando o IdM CLI como usuário AD
Este procedimento verifica se um usuário do Active Directory (AD) pode entrar na interface de linha de comando do Gerenciamento de Identidade (IdM) e executar comandos apropriados para sua função.
Destruir o atual bilhete Kerberos do administrador da IdM:
# kdestroy -A
NotaA destruição do bilhete Kerberos é necessária porque a implementação da GSSAPI no MIT Kerberos escolhe credenciais do reino do serviço alvo por preferência, que neste caso é o reino do IdM. Isto significa que se uma coleta de cache de credenciais, a saber, KCM:, KEYRING:, ou DIR: tipo de cache de credenciais estiver em uso, um arquivo
admin
previamente obtido ou qualquer outra credencial do diretor do IdM será usado para acessar o IdM API em vez das credenciais do usuário AD.Obter as credenciais Kerberos do usuário AD para o qual foi criada uma anulação de ID:
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
Teste que a substituição de ID do usuário AD goza dos mesmos privilégios decorrentes de ser membro do grupo IdM que qualquer usuário IdM desse grupo. Se a substituição de ID do usuário AD tiver sido adicionada ao grupo
admins
, o usuário AD pode, por exemplo, criar grupos no IdM:# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011