11.2. 用户生命周期


身份管理支持三种用户帐户状态: stageactivepreserve
  • Stage(预发布) 用户不允许进行身份验证。这是初始状态。可能尚未设置活动用户所需的部分用户帐户属性。
  • Active(活跃)用户被允许进行身份验证。所有必需的用户帐户属性都需要在这个阶段设置。
  • 保留 的用户是之前 活跃的 用户。它们被视为不活动,无法向 IdM 进行身份验证。保留用户保留他们作为活跃用户的大多数帐户属性,但它们不属于任何用户组。
    注意
    处于 保留 状态的用户列表可以提供过去用户帐户的历史记录。
也可以从 IdM 数据库永久删除用户条目。删除用户条目会从 IdM 永久删除条目本身及其所有信息,包括组成员身份和密码。任何对用户的外部配置,如系统帐户和主目录,都不会被删除,但无法通过 IdM 来访问。
重要
删除的用户帐户无法恢复。当您删除用户帐户时,与帐户关联的所有信息都将永久丢失。
新管理员用户只能由另一个管理员(如默认的 admin 用户)创建新的管理员用户。如果您意外删除所有管理员帐户,目录管理器必须在 Directory 服务器中手动创建一个新管理员。
警告
不要删除 admin 用户。由于 admin 是 IdM 所需的预定义用户,因此此操作会导致某些命令出现问题。如果要定义和使用替代 admin 用户,在为至少一个不同的用户授予 admin 权限后,使用 ipa user-disable admin 禁用预定义的 admin 用户。

用户生命周期管理操作

若要管理用户调配,管理员可以将用户帐户从一个状态移到另一个状态。新用户帐户可以添加为 activestage,但不能作为 保留
IdM 支持以下操作来进行用户生命周期管理:
stage active
当处于 stage 状态的帐户准备好被正确激活时,管理员会把它移到 active 状态。
Active 保留
用户离开公司后,管理员会将帐户移到 preserved 状态。
Relded active
之前的用户再次加入公司。管理员通过将其从 preserved 状态移到 active 状态来恢复用户帐户。
Relded stage
前一位用户计划再次加入公司。管理员将帐户从 preserved 状态移到 stage 状态,以准备帐户以便稍后重新激活。
您还可以从 IdM 永久删除活跃、阶段和保留的用户。请注意,您无法将 stage 用户移到 preserved 状态,您只能永久删除它们。

图 11.1. 用户生命周期操作

用户生命周期操作

11.2.1. 添加阶段或活动用户

在 Web UI 中添加用户

  1. 选择 Identity Users 选项卡。
  2. 根据您要以 activestage 状态添加用户,选择 Active users 或 Stage 用户类别。

    图 11.2. 选择用户类别

    选择用户类别
    有关 活跃stage 用户生命周期状态的更多信息,请参阅 第 11.2 节 “用户生命周期”
  3. 点 users 列表顶部的 Add

    图 11.3. 添加用户

    添加用户
  4. 填写 Add User 表单。
    请注意,如果您没有手动设置用户登录,IdM 会根据指定的名字和姓氏自动生成登录。
  5. 点击 Add
    或者,单击 Add and Add Another 以开始添加其他 用户或添加和编辑 以开始编辑新用户条目。有关编辑用户条目的详情请参考 第 11.3 节 “编辑用户”

从命令行添加用户

要添加一个处于 active 状态的新用户,请使用 ipa user-add 命令。要添加新用户处于 stage 状态,请使用 ipa stageuser-add 命令。
注意
有关 活跃stage 用户生命周期状态的更多信息,请参阅 第 11.2 节 “用户生命周期”
当不带任何选项运行时,ipa user-addipa stageuser-add 会提示您输入最低所需的用户属性,并将默认值用于其他属性。或者,您也可以直接向命令添加指定各种属性的选项。
在交互式会话中,在您运行不带任何选项的 命令后,IdM 会根据提供的名字和姓氏提供自动生成的用户登录,并将其显示在方括号([ ])中。若要接受默认登录,请按 Enter 键进行确认。要指定自定义登录,请不要确认默认帐户,而是指定自定义登录。
$ ipa user-add
First name: first_name
Last name: last_name
User login [default_login]: custom_login
ipa user-addipa stageuser-add 中添加选项可让您为许多用户属性定义自定义值。这意味着您可以指定比在互动会话中的更多信息。例如,添加 stage 用户:
$ ipa stageuser-add stage_user_login --first=first_name --last=last_name --email=email_address
如需 ipa user-addipa stageuser-add 接受的选项的完整列表,请使用添加 --help 选项运行命令。

11.2.1.1. 用户名要求

IdM 支持可通过以下正则表达式描述的用户名:
'(?!^[0-9]+$)^[a-zA-Z0-9_.][a-zA-Z0-9_.-]*[a-zA-Z0-9_.$-]?$'
用户名只能包含字母、数字、_、-、.、$ 和 必须至少包含一个字母。
注意
支持以末尾的美元符号($)结尾的用户名,以启用 Samba 3.x 机器支持。
如果您添加了用户名包含大写字符的用户,IdM 会在保存名称时自动将其转换为小写。因此,IdM 始终要求用户在登录时输入其用户名全部小写。此外,不能添加用户名仅在字母校准(如用户和用户)上有所不同 的用户
用户名的默认最大长度为 32 个字符。要更改它,请使用 ipa config-mod --maxusername 命令。例如,要将最大用户名长度增加到 64 个字符:
$ ipa config-mod --maxusername=64
  Maximum username length: 64
  ...

11.2.1.2. 定义自定义 UID 或 GID 号

如果您添加新的用户条目但没有指定自定义 UID 或 GID 号,IdM 会自动分配 ID 范围内下一个可用的 ID 号。这意味着用户的 ID 号始终是唯一的。有关 ID 范围的详情请参考 第 14 章 唯一 UID 和 GID 编号分配
当您指定自定义 ID 号时,服务器不会验证自定义 ID 号是否唯一。因此,多个用户条目可能被分配了相同的 ID 号。红帽建议防止有多个 ID 号相同的条目。

11.2.2. 列出用户和搜索用户

在 Web UI 中列出用户

  1. 选择 Identity Users 选项卡。
  2. 选择 Active usersStage usersPreserved users 类别。

    图 11.4. 列出用户

    列出用户

在 Web UI 中显示用户的信息

要显示用户的详细信息,请点击用户列表中的用户名称:

图 11.5. 显示用户信息

显示用户信息

从命令行列出用户

要列出所有活动的用户,请运行 ipa user-find 命令。要列出所有 stage 用户,请使用 ipa stageuser-find 命令。要列出保留的用户,请运行 ipa user-find --preserved=true 命令。
例如:
$ ipa user-find
---------------
23 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  UID: 1453200000
  GID: 1453200000
  Account disabled: False
  Password: True
  Kerberos keys available: True

  User login: user
...
通过在 ipa user-findipa stageuser-find 中添加选项和参数,您可以定义搜索结果并过滤搜索结果。例如,显示定义了特定标题的所有活跃用户:
$ ipa user-find --title=user_title
---------------
2 users matched
---------------
  User login: user
...
  Job Title: Title
...

  User login: user2
...
  Job Title: Title
...
同样,显示登录包含用户的所有 stage 用户
$ ipa user-find user
---------------
3 users matched
---------------
User login: user
...

User login: user2
...

User login: user3
...
如需 ipa user-findipa stageuser-find 接受的选项的完整列表,请使用添加的 --help 选项运行命令。

从命令行显示用户的信息

要显示活跃或保留用户的信息,请使用 ipa user-show 命令:
$ ipa user-show user_login
  User login: user_login
  First name: first_name
  Last name: last_name
...
要显示 stage 用户的信息,请使用 ipa stageuser-show 命令:

11.2.3. 激活、保留、删除和保留用户

本节论述了在不同用户生命周期状态之间移动用户帐户。有关 IdM 中生命周期状态的详情,请参考 第 11.2 节 “用户生命周期”

在 Web UI 中管理用户生命周期

激活 stage 用户:
  • Stage users 列表中,选择要激活的用户,然后单击 Activate

    图 11.6. 激活用户

    激活用户
保留或删除用户:
  1. Active usersStage 用户列表,选择用户。单击 Delete

    图 11.7. 删除用户

    删除用户
  2. 如果您选择了活动用户,请选择 deletepreserve。如果选择了 stage 用户,则只能删除该用户。默认 UI 选项为 delete
    例如,要保留活跃的用户:

    图 11.8. 在 Web UI 中选择 Delete Mode

    在 Web UI 中选择 Delete Mode
    若要确认,请单击 Delete 按钮。
恢复保留的用户:
  • Preserved users 列表中,选择要恢复的用户,然后单击 Restore

    图 11.9. 恢复用户

    恢复用户
注意
恢复用户不会恢复之前帐户的所有属性。例如,用户的密码不会被恢复,必须再次定义。
请注意,在 Web UI 中,用户无法将用户从 preserved 状态移到 stage 状态。

从命令行管理用户生命周期

要通过从 stage 移到 active 来激活用户帐户,请使用 ipa stageuser-activate 命令。
$ ipa stageuser-activate user_login
-------------------------
Stage user user_login activated
-------------------------
...
要保留或删除用户帐户,请使用 ipa user-delipa stageuser-del 命令。
  • 要从 IdM 数据库永久删除一个活动的用户,请在没有任何选项的情况下运行 ipa user-del
    $ ipa user-del user_login
    --------------------
    Deleted user "user3"
    --------------------
    
  • 要保留活跃的用户帐户,请使用 --preserve 选项运行 ipa user-del
    $ ipa user-del --preserve user_login
    --------------------
    Deleted user "user_login"
    --------------------
    
  • 要从 IdM 数据库永久删除 stage 用户,请运行 ipa stageuser-del
    $ ipa stageuser-del user_login
    --------------------------
    Deleted stage user "user_login"
    --------------------------
    
注意
删除多个用户时,请使用 --continue 选项强制命令继续,而不论出现什么错误。命令完成后,会将成功和失败的操作摘要输出到 stdout 标准输出流。
$ ipa user-del --continue user1 user2 user3
如果不使用 --continue,则命令会继续删除用户,直到它遇到错误,之后它停止并退出。
要通过将保留的用户帐户从 preserved 移到 active 来恢复保留的用户帐户,请使用 ipa user-undel 命令。
$ ipa user-undel user_login
------------------------------
Undeleted user account "user_login"
------------------------------
要通过将保留的用户帐户从 preserved 移到 stage 来恢复保留的用户帐户,请使用 ipa user-stage 命令。
$ ipa user-stage user_login
------------------------------
Staged user account "user_login"
------------------------------
注意
恢复用户帐户不会恢复之前帐户的所有属性。例如,用户的密码不会被恢复,必须再次定义。
有关这些命令及其接受的选项的更多信息,请在添加 --help 选项的情况下运行它们。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.