11.2. 用户生命周期
身份管理支持三种用户帐户状态: stage、active 和 preserve。
Stage(预发布)
用户不允许进行身份验证。这是初始状态。可能尚未设置活动用户所需的部分用户帐户属性。Active(活跃)
用户被允许进行身份验证。所有必需的用户帐户属性都需要在这个阶段设置。保留
的用户是之前活跃的
用户。它们被视为不活动,无法向 IdM 进行身份验证。保留用户保留他们作为活跃用户的大多数帐户属性,但它们不属于任何用户组。注意处于保留
状态的用户列表可以提供过去用户帐户的历史记录。
也可以从 IdM 数据库永久删除用户条目。删除用户条目会从 IdM 永久删除条目本身及其所有信息,包括组成员身份和密码。任何对用户的外部配置,如系统帐户和主目录,都不会被删除,但无法通过 IdM 来访问。
重要
删除的用户帐户无法恢复。当您删除用户帐户时,与帐户关联的所有信息都将永久丢失。
新管理员用户只能由另一个管理员(如默认的
admin
用户)创建新的管理员用户。如果您意外删除所有管理员帐户,目录管理器必须在 Directory 服务器中手动创建一个新管理员。
警告
不要删除
admin
用户。由于 admin
是 IdM 所需的预定义用户,因此此操作会导致某些命令出现问题。如果要定义和使用替代 admin 用户,在为至少一个不同的用户授予 admin
权限后,使用 ipa user-disable admin
禁用预定义的 admin 用户。
用户生命周期管理操作
若要管理用户调配,管理员可以将用户帐户从一个状态移到另一个状态。新用户帐户可以添加为
active
或 stage
,但不能作为 保留
。
IdM 支持以下操作来进行用户生命周期管理:
- stage
active - 当处于
stage
状态的帐户准备好被正确激活时,管理员会把它移到active
状态。 - Active
保留 - 用户离开公司后,管理员会将帐户移到
preserved
状态。 - Relded
active - 之前的用户再次加入公司。管理员通过将其从
preserved
状态移到active
状态来恢复用户帐户。 - Relded
stage - 前一位用户计划再次加入公司。管理员将帐户从
preserved
状态移到stage
状态,以准备帐户以便稍后重新激活。
您还可以从 IdM 永久删除活跃、阶段和保留的用户。请注意,您无法将 stage 用户移到
preserved
状态,您只能永久删除它们。
图 11.1. 用户生命周期操作
11.2.1. 添加阶段或活动用户
在 Web UI 中添加用户
- 选择
选项卡。 - 根据您要以
active
或stage
状态添加用户,选择 Active users 或 Stage 用户类别。图 11.2. 选择用户类别
- 点 users 列表顶部的 Add。
图 11.3. 添加用户
- 填写 Add User 表单。请注意,如果您没有手动设置用户登录,IdM 会根据指定的名字和姓氏自动生成登录。
- 点击。或者,单击 第 11.3 节 “编辑用户”。以开始添加其他 以开始编辑新用户条目。有关编辑用户条目的详情请参考
从命令行添加用户
要添加一个处于
active
状态的新用户,请使用 ipa user-add 命令。要添加新用户处于 stage
状态,请使用 ipa stageuser-add 命令。
注意
当不带任何选项运行时,ipa user-add 和 ipa stageuser-add 会提示您输入最低所需的用户属性,并将默认值用于其他属性。或者,您也可以直接向命令添加指定各种属性的选项。
在交互式会话中,在您运行不带任何选项的 命令后,IdM 会根据提供的名字和姓氏提供自动生成的用户登录,并将其显示在方括号([ ])中。若要接受默认登录,请按 Enter 键进行确认。要指定自定义登录,请不要确认默认帐户,而是指定自定义登录。
$ ipa user-add First name: first_name Last name: last_name User login [default_login]: custom_login
在 ipa user-add 和 ipa stageuser-add 中添加选项可让您为许多用户属性定义自定义值。这意味着您可以指定比在互动会话中的更多信息。例如,添加 stage 用户:
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
如需 ipa user-add 和 ipa stageuser-add 接受的选项的完整列表,请使用添加
--help
选项运行命令。
11.2.1.1. 用户名要求
IdM 支持可通过以下正则表达式描述的用户名:
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
用户名只能包含字母、数字、_、-、.、$ 和 必须至少包含一个字母。
注意
支持以末尾的美元符号($)结尾的用户名,以启用 Samba 3.x 机器支持。
如果您添加了用户名包含大写字符的用户,IdM 会在保存名称时自动将其转换为小写。因此,IdM 始终要求用户在登录时输入其用户名全部小写。此外,不能添加用户名仅在字母校准(如用户和用户)上有所不同
的用户
。
用户名的默认最大长度为 32 个字符。要更改它,请使用 ipa config-mod --maxusername 命令。例如,要将最大用户名长度增加到 64 个字符:
$ ipa config-mod --maxusername=64 Maximum username length: 64 ...
11.2.1.2. 定义自定义 UID 或 GID 号
如果您添加新的用户条目但没有指定自定义 UID 或 GID 号,IdM 会自动分配 ID 范围内下一个可用的 ID 号。这意味着用户的 ID 号始终是唯一的。有关 ID 范围的详情请参考 第 14 章 唯一 UID 和 GID 编号分配。
当您指定自定义 ID 号时,服务器不会验证自定义 ID 号是否唯一。因此,多个用户条目可能被分配了相同的 ID 号。红帽建议防止有多个 ID 号相同的条目。
11.2.2. 列出用户和搜索用户
在 Web UI 中列出用户
- 选择
选项卡。 - 选择 Active users、Stage users 或 Preserved users 类别。
图 11.4. 列出用户
在 Web UI 中显示用户的信息
要显示用户的详细信息,请点击用户列表中的用户名称:
图 11.5. 显示用户信息
从命令行列出用户
要列出所有活动的用户,请运行 ipa user-find 命令。要列出所有 stage 用户,请使用 ipa stageuser-find 命令。要列出保留的用户,请运行 ipa user-find --preserved=true 命令。
例如:
$ ipa user-find --------------- 23 users matched --------------- User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash UID: 1453200000 GID: 1453200000 Account disabled: False Password: True Kerberos keys available: True User login: user ...
通过在 ipa user-find 和 ipa stageuser-find 中添加选项和参数,您可以定义搜索结果并过滤搜索结果。例如,显示定义了特定标题的所有活跃用户:
$ ipa user-find --title=user_title --------------- 2 users matched --------------- User login: user ... Job Title: Title ... User login: user2 ... Job Title: Title ...
同样,显示登录包含用户的所有 stage
用户
:
$ ipa user-find user --------------- 3 users matched --------------- User login: user ... User login: user2 ... User login: user3 ...
如需 ipa user-find 和 ipa stageuser-find 接受的选项的完整列表,请使用添加的
--help
选项运行命令。
从命令行显示用户的信息
要显示活跃或保留用户的信息,请使用 ipa user-show 命令:
$ ipa user-show user_login User login: user_login First name: first_name Last name: last_name ...
要显示 stage 用户的信息,请使用 ipa stageuser-show 命令:
11.2.3. 激活、保留、删除和保留用户
本节论述了在不同用户生命周期状态之间移动用户帐户。有关 IdM 中生命周期状态的详情,请参考 第 11.2 节 “用户生命周期”。
在 Web UI 中管理用户生命周期
激活 stage 用户:
- 在 Stage users 列表中,选择要激活的用户,然后单击 。
图 11.6. 激活用户
保留或删除用户:
- 在 Active users 或 Stage 用户列表,选择用户。单击 。
图 11.7. 删除用户
- 如果您选择了活动用户,请选择 delete 或 preserve。如果选择了 stage 用户,则只能删除该用户。默认 UI 选项为 delete。例如,要保留活跃的用户:
图 11.8. 在 Web UI 中选择 Delete Mode
若要确认,请单击按钮。
恢复保留的用户:
- 在 Preserved users 列表中,选择要恢复的用户,然后单击 。
图 11.9. 恢复用户
注意
恢复用户不会恢复之前帐户的所有属性。例如,用户的密码不会被恢复,必须再次定义。
请注意,在 Web UI 中,用户无法将用户从
preserved
状态移到 stage
状态。
从命令行管理用户生命周期
要通过从
stage
移到 active
来激活用户帐户,请使用 ipa stageuser-activate 命令。
$ ipa stageuser-activate user_login ------------------------- Stage user user_login activated ------------------------- ...
要保留或删除用户帐户,请使用 ipa user-del 或 ipa stageuser-del 命令。
- 要从 IdM 数据库永久删除一个活动的用户,请在没有任何选项的情况下运行 ipa user-del。
$ ipa user-del user_login -------------------- Deleted user "user3" --------------------
- 要保留活跃的用户帐户,请使用
--preserve
选项运行 ipa user-del。$ ipa user-del --preserve user_login -------------------- Deleted user "user_login" --------------------
- 要从 IdM 数据库永久删除 stage 用户,请运行 ipa stageuser-del。
$ ipa stageuser-del user_login -------------------------- Deleted stage user "user_login" --------------------------
注意
删除多个用户时,请使用
--continue
选项强制命令继续,而不论出现什么错误。命令完成后,会将成功和失败的操作摘要输出到 stdout
标准输出流。
$ ipa user-del --continue user1 user2 user3
如果不使用
--continue
,则命令会继续删除用户,直到它遇到错误,之后它停止并退出。
要通过将保留的用户帐户从
preserved
移到 active
来恢复保留的用户帐户,请使用 ipa user-undel 命令。
$ ipa user-undel user_login ------------------------------ Undeleted user account "user_login" ------------------------------
要通过将保留的用户帐户从
preserved
移到 stage
来恢复保留的用户帐户,请使用 ipa user-stage 命令。
$ ipa user-stage user_login ------------------------------ Staged user account "user_login" ------------------------------
注意
恢复用户帐户不会恢复之前帐户的所有属性。例如,用户的密码不会被恢复,必须再次定义。
有关这些命令及其接受的选项的更多信息,请在添加
--help
选项的情况下运行它们。