87.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令
此流程检查 Active Directory(AD)用户可以登录到 Identity Management(IdM)命令行界面(CLI),并运行适合其角色的命令。
销毁 IdM 管理员的当前 Kerberos ticket:
# kdestroy -A
注意Kerberos ticket 的破坏是必需的,因为 MIT Kerberos 中的 GSSAPI 实施首选项从目标服务域选择凭证,本例中为 IdM 域。这意味着,如果凭证缓存集合,即
KCM:
、KEYRING:
, orDIR:
凭证缓存类型在被使用,则之前获取的admin
或其他 IdM 主体的凭证将用于访问 IdM API,而不是 AD 用户的凭证。获取已为其创建 ID 覆盖的 AD 用户的 Kerberos 凭证:
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
测试 AD 用户的 ID 覆盖是否因 IdM 组成员资格而获得与该组中的任何 IdM 用户相同的权限。如果 AD 用户的 ID 覆盖已添加到
admins
组中,AD 用户可以在 IdM 中创建组:# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011