第 3 章 使用 IdM Web UI 管理用户帐户
身份管理(IdM)提供 多个阶段,可帮助您管理各种用户生命周期情况:
- 创建用户帐户
在员工在公司开始职业生涯之前 创建 stage 用户帐户,并提前在员工出现在办公室并想要激活客户的那天前做好准备。
您可以省略此步骤,并直接创建活动的用户帐户。这个流程与创建 stage 用户帐户的流程类似。
- 激活用户帐户
- 激活帐户 在员工的第一个工作日。
- 禁用用户帐户
- 如果用户要休几个月的产假,您需要 临时禁用该帐户。
- 启用用户帐户
- 用户返回时,您需要 重新启用该帐户。
- 保留用户帐户
- 如果用户想要离开公司,您需要删除该 帐户,并有可能恢复它, 因为人们可以在一段时间后回到公司。
- 恢复用户帐户
- 两年后,用户回来了,您需要 恢复保留的帐户。
- 删除用户帐户
- 如果员工离职,在不需要备份的情况下删除该帐户。
3.1. 用户生命周期
身份管理(IdM)支持三个用户帐户状态:
- Stage(预发布) 用户不允许进行身份验证。这是初始状态。活动用户所需的一些用户帐户属性无法在这里设置,例如组成员资格。
- Active(活跃)用户被允许进行身份验证。所有必需的用户帐户属性都需要在这个阶段设置。
- Preserved(保留)用户是以前活跃的用户,但现在被视为不活跃且无法通过 IdM 进行身份验证。保留用户保留他们作为活跃用户的大多数帐户属性,但它们不属于任何用户组。
您可以从 IdM 数据库永久删除用户条目。
删除的用户帐户无法恢复。当您删除用户帐户时,与帐户相关的所有信息都将永久丢失。
只能由具备管理员权限的用户(如默认的 admin 用户)才能创建新的管理员。如果您意外删除所有管理员帐户,目录管理器必须在 Directory 服务器中手动创建新管理员。
不要删除 admin
用户。由于 admin
是 IdM 所需的预定义用户,因此此操作会导致某些命令出现问题。如果要定义和使用另外的 admin 用户,请先至少为一个其他用户授予 admin
权限,然后再使用 ipa user-disable admin
命令来禁用预定义的 admin 用户。
不要将本地用户添加到 IdM。NSS(Name Service Switch)在解析本地用户和组前,总会先解析 IdM 的用户和组。这意味着 IdM 组成员资格不适用于本地用户。