15.7. 通过命令行管理用户任务
15.7.1. 管理用户
您可以使用
ovirt-aaa-jdbc-tool
工具程序管理内部域中的用户账户。使用这个工具程序对账户所做的修改可以马上生效,而不需要重启 ovirt-engine
服务。运行 ovirt-aaa-jdbc-tool user --help
可以获得完整的用户选项列表。本节给出了一些常见的示例。
过程 15.11. 创建用户
以下介绍了如何创建一个用户、为用户设置密码并把它加入到 Red Hat Virtualization 环境中。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 创建一个新用户账户。另外,还可以使用
--attribute
来设置账户的详细信息。运行ovirt-aaa-jdbc-tool user add --help
可以获得相关的帮助信息。# ovirt-aaa-jdbc-tool user add test1 --attribute=firstName=John --attribute=lastName=Doe adding user test1... user added successfully
- 设置密码。您需要为
--password-valid-to
设置一个值,否则密码的过期时间会被默认设置为当前的时间。日期的格式是yyyy-MM-dd HH:mm:ssX
。在这个示例中,-0800
代表 GMT -8 小时。运行ovirt-aaa-jdbc-tool user password-reset --help
可以获得更多选项信息。# ovirt-aaa-jdbc-tool user password-reset test1 --password-valid-to="2025-08-01 12:00:00-0800" Password: updating user test1... user updated successfully
注意
在默认情况下,内部域中的用户账户的密码策略有以下限制:如需了解与密码策略相关的信息,以及其它默认的设置,请运行- 最少 6 个字符。
- 修改密码时不能使用以前使用过的密码。
ovirt-aaa-jdbc-tool settings show
。 - 把新创建的用户添加到管理门户中,并为用户分配适当的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”。
过程 15.12. 查看用户信息
以下介绍了如何查看用户账户信息。它所显示的信息比管理门户中用户标签页中的信息更多。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 运行下列命令:
# ovirt-aaa-jdbc-tool user show test1
过程 15.13. 编辑用户信息
以下介绍了如何更新用户账户信息。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 运行以下命令编辑用户信息。这个示例会更新电子邮件地址。
# ovirt-aaa-jdbc-tool user edit test1 --attribute=email=jdoe@example.com
过程 15.14. 删除用户
以下介绍了如何删除用户账户
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 删除用户:
# ovirt-aaa-jdbc-tool user delete test1
- 从管理门户中删除用户。相关信息请参阅 第 15.6.4 节 “删除用户”。
15.7.2. 修改内部管理员用户的密码
使用
ovirt-aaa-jdbc-tool
工具程序可以重置内部管理用户(admin@internal
)的密码。修改后不需要重启 ovirt-engine
服务就可以使修改的密码生效。
在默认情况下,内部域中的用户账户的密码策略有以下限制:
如需了解与密码策略相关的信息,以及其它默认的设置,请运行
- 最少 6 个字符。
- 修改密码时不能使用以前使用过的密码。
ovirt-aaa-jdbc-tool settings show
。
过程 15.15. 为内部管理员用户重设密码
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 要使用交互模式修改密码,运行以下命令。您需要为
--password-valid-to
设置一个值,否则密码的过期时间会被默认设置为当前的时间。日期的格式是yyyy-MM-dd HH:mm:ssX
。在这个示例中,Z
代表 UTC 时间。如需了解更多选项信息,请运行ovirt-aaa-jdbc-tool user password-reset --help
。# ovirt-aaa-jdbc-tool user password-reset
admin
--password-valid-to="2025-08-01 12:00:00Z"
15.7.3. 禁用内部管理员用户
您可以在本地域中禁用包括在运行
engine-setup
时创建的 admin@internal
用户在内的用户。在禁用默认的 admin
用户前,请确保在环境中最少有一个具有完全管理权限的用户。
过程 15.16. 禁用内部管理员用户
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 确认另外一个具有
SuperUser
角色的用户已被加入到环境中。相关信息请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”。 - 禁用默认的
admin
用户:# ovirt-aaa-jdbc-tool user edit
admin
--flag=+disabled注意
要启用一个已禁用的用户,运行ovirt-aaa-jdbc-tool user edit username --flag=-disabled
15.7.4. 管理组
您可以使用
ovirt-aaa-jdbc-tool
工具程序管理您的本地域中的组账户。管理组和管理用户相似。运行 ovirt-aaa-jdbc-tool group --help
可以列出组的所有选项。本节提供了一些常见的任务示例。
过程 15.17. 创建一个组
以下介绍了如何创建组账户、为组添加用户以及查看组详情的步骤。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 创建一个新组
# ovirt-aaa-jdbc-tool group add group1
- 为组添加用户。这些用户需要已存在。
# ovirt-aaa-jdbc-tool group-manage useradd group1 --user=test1
注意
运行ovirt-aaa-jdbc-tool group-manage --help
可以显示 group-manage 的完整选项列表。 - 查看组账户详情:
# ovirt-aaa-jdbc-tool group show group1
- 在管理门户中添加新创建的组,并为组分配适当的角色和权限。组中的用户会继承组的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”。
过程 15.18. 创建嵌套的组
以下介绍了在组中创建其它组的步骤。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 创建第一个组:
# ovirt-aaa-jdbc-tool group add group1
- 创建第二个组:
# ovirt-aaa-jdbc-tool group add group1-1
- 把第二个组添加到第一个组中:
# ovirt-aaa-jdbc-tool group-manage groupadd group1 --group=group1-1
- 把第一个组添加到管理门户中,并为组分配适当的角色和权限。如需了解更多相关信息,请参阅 第 15.6.1 节 “添加用户并为用户分配门户权限”。
15.7.5. 查询用户和组
使用
query
模块可以对用户和组信息进行查询。如需了解这个模块的所有选项,请运行 ovirt-aaa-jdbc-tool query --help
。
过程 15.19. 列出所有用户或组账户的信息
以下步骤会显示所有账户的信息。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 列出所有用户账户信息:
# ovirt-aaa-jdbc-tool query --what=user
- 列出所有组账户信息:
# ovirt-aaa-jdbc-tool query --what=group
过程 15.20. 列出过滤的账户信息
以下步骤会显示经过过滤的账户信息。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 列出名字以字母 j 开头的用户账户信息。
# ovirt-aaa-jdbc-tool query --what=user --pattern="name=j*"
- 列出部门属性被设置为 marketing 的组的信息:
# ovirt-aaa-jdbc-tool query --what=group --pattern="department=marketing"
15.7.6. 管理帐户设置
使用
ovirt-aaa-jdbc-tool
settings
模块卡以改变默认账户的设置。
过程 15.21. 更新账户设置
以下介绍了更新默认账户设置的步骤。
- 登录到 Red Hat Virtualization Manager 所在的机器。
- 运行以下命令显示所有设置:
# ovirt-aaa-jdbc-tool setting show
- 修改相关设置:
- 以下命令把所有用户账户的默认登录会话时间改为 60 分钟。它的默认值时 10080 分钟。
# ovirt-aaa-jdbc-tool setting set --name=MAX_LOGIN_MINUTES --value=60
- 以下命令更新了把用户账户被锁定前可以进行登录操作的失败次数。它的默认值是 5。
# ovirt-aaa-jdbc-tool setting set --name=MAX_FAILURES_SINCE_SUCCESS --value=3
注意
运行ovirt-aaa-jdbc-tool user unlock test1
可以取消锁定这个已被锁定的用户。