58.2. Usando anulações de ID para permitir que usuários AD administrem IdM
Pré-requisitos
O fluxo
idm:DL1
está habilitado em seu servidor de Gerenciamento de Identidade (IdM) e você mudou para as RPMs entregues através deste fluxo:# yum module enable idm:DL1 # yum distro-sync
O perfil
idm:DL1/adtrust
está instalado em seu servidor IdM.# yum module install idm:DL1/adtrust
O perfil contém todos os pacotes necessários para a instalação de um servidor IdM que terá um acordo de confiança com o Active Directory (AD), incluindo o pacote
ipa-idoverride-memberof
.- Um ambiente de trabalho IdM é criado. Para detalhes, consulte Instalando o Gerenciamento de Identidade.
- É estabelecida uma confiança de trabalho entre seu ambiente IdM e AD.
Procedimento
Este procedimento descreve a criação e o uso de uma substituição de ID para um usuário AD para dar a esse usuário direitos idênticos aos de um usuário IdM. Durante este procedimento, o trabalho em um servidor IdM que é configurado como um controlador de confiança ou um agente de confiança. Para detalhes sobre controladores de confiança e agentes fiduciários, veja Trust controllers and trust agents em Gerenciamento de Identidade de Planejamento.
Como administrador da IdM, crie uma substituição de ID para um usuário AD na Visão Padrão de Confiança. Por exemplo, para criar uma substituição de ID para o usuário
ad_user@ad.example.com
:# kinit admin # ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
Adicionar a substituição de ID do Default Trust View como um membro de um grupo IdM. Se o grupo em questão for um membro de uma função IdM, o usuário AD representado pela substituição de ID ganhará todas as permissões concedidas pela função ao usar a API do IdM, incluindo tanto a interface de linha de comando quanto a interface web do IdM. Por exemplo, para adicionar a substituição de ID para o usuário
ad_user@ad.example.com
ao grupoadmins
:# ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com