搜索

51.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令

download PDF

此流程检查 Active Directory(AD)用户可以登录到 Identity Management(IdM)命令行界面(CLI),并运行适用于其角色的命令。

  1. 销毁 IdM 管理员的当前 Kerberos 票据:

    # kdestroy -A
    注意

    需要 Kerberos 票据的破坏性,因为 MIT Kerberos 中的 GSSAPI 实现根据首选从目标服务的域中选择凭证,本例中为 IdM 域。这意味着,如果凭证缓存集合,即 KCM:KEYRING:, or DIR: 凭证缓存类型在被使用,则之前获取的 admin 或其他 IdM 主体的凭证将用于访问 IdM API,而不是 AD 用户的凭证。

  2. 获取创建 ID 覆盖的 AD 用户的 Kerberos 凭证:

    # kinit ad_user@AD.EXAMPLE.COM
    Password for ad_user@AD.EXAMPLE.COM:
  3. 测试 AD 用户的 ID 覆盖是否从与该组中的任何 IdM 用户身份获取相同的特权。如果 AD 用户的 ID 覆盖已添加到 admins 组中,则 AD 用户可以在 IdM 中创建组:

    # ipa group-add some-new-group
    ----------------------------
    Added group "some-new-group"
    ----------------------------
      Group name: some-new-group
      GID: 1997000011
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.