主页
产品
Red Hat Enterprise Linux
8
配置和管理身份管理
88.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令

88.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令

此流程检查 Active Directory(AD)用户可以登录到 Identity Management(IdM)命令行界面(CLI)，并运行适合其角色的命令。

销毁 IdM 管理员的当前 Kerberos ticket：
```
kdestroy -A
```
```
# kdestroy -A
```
Copy to Clipboard Toggle word wrap
注意
Kerberos ticket 的破坏是必需的，因为 MIT Kerberos 中的 GSSAPI 实施首选项从目标服务域选择凭证，本例中为 IdM 域。这意味着，如果凭证缓存集合，即 KCM:、KEYRING:, or DIR: 凭证缓存类型在被使用，则之前获取的 admin 或其他 IdM 主体的凭证将用于访问 IdM API，而不是 AD 用户的凭证。
获取已为其创建 ID 覆盖的 AD 用户的 Kerberos 凭证：
```
kinit ad_user@AD.EXAMPLE.COM
```
```
# kinit ad_user@AD.EXAMPLE.COM
Password for ad_user@AD.EXAMPLE.COM:
```
Copy to Clipboard Toggle word wrap
测试 AD 用户的 ID 覆盖是否因 IdM 组成员资格而获得与该组中的任何 IdM 用户相同的权限。如果 AD 用户的 ID 覆盖已添加到 admins 组中，AD 用户可以在 IdM 中创建组：
```
ipa group-add some-new-group
```
```
# ipa group-add some-new-group
----------------------------
Added group "some-new-group"
----------------------------
  Group name: some-new-group
  GID: 1997000011
```
Copy to Clipboard Toggle word wrap

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat