11.4. 使用 ldapmodify 直接从 CLI 添加 IdM stage 用户
按照以下流程访问身份管理(IdM) LDAP,并使用 ldapmodify
工具添加 stage 用户。
先决条件
- IdM 管理员已为其创建了 provisionator 帐户和密码。详情请参阅 为 stage 用户帐户的自动激活准备 IdM 帐户。
- 作为外部管理员,您知道 provisionator 帐户的密码。
- 您可以从 LDAP 服务器通过 SSH 连接到 IdM 服务器。
您可以提供 IdM stage 用户必须有的最小的属性集来允许正确处理用户生命周期,即:
-
可区分的名称
(dn) -
通用名称
(cn) -
姓氏
(sn) -
uid
-
步骤
使用您的 IdM 身份和凭证,通过
SSH
协议连接到 IdM 服务器:$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
获取 provisionator 帐户的 TGT,这是具有添加新 stage 用户角色的 IdM 用户:
$ kinit provisionator
输入
ldapmodify
命令,并将通用安全服务 API(GSSAPI)指定为用于身份验证的简单身份验证和安全层(SASL)机制。指定 IdM 服务器的名称和端口:# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
输入您要添加的用户的
dn
:dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
输入 add 作为您要执行的更改的类型:
changetype: add
指定允许正确处理用户生命周期所需的 LDAP 对象类类别:
objectClass: top objectClass: inetorgperson
您可以指定其他对象类。
输入用户的
uid
:uid: stageuser
输入用户的
cn
:cn: Babs Jensen
输入用户的姓氏:
sn: Jensen
再次按
Enter
键确认输入结束:[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- 使用 Ctrl + C 退出连接。
验证步骤
验证 stage 条目的内容,以确保您的调配系统添加了所有必需的 POSIX 属性,并且 stage 条目已准备好被激活。
要显示新 stage 用户的 LDAP 属性,请输入
ipa stageuser-show --all --raw
命令:$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
请注意,通过
saccountlock
属性,用户被显式禁用了。
-
请注意,通过