51.4. 验证 AD 用户是否可以在 IdM CLI 中执行正确的命令
此流程检查 Active Directory(AD)用户可以登录到 Identity Management(IdM)命令行界面(CLI),并运行适用于其角色的命令。
销毁 IdM 管理员的当前 Kerberos 票据:
# kdestroy -A
注意需要 Kerberos 票据的破坏性,因为 MIT Kerberos 中的 GSSAPI 实现根据首选从目标服务的域中选择凭证,本例中为 IdM 域。这意味着,如果凭证缓存集合,即
KCM:
、KEYRING:
, orDIR:
凭证缓存类型在被使用,则之前获取的admin
或其他 IdM 主体的凭证将用于访问 IdM API,而不是 AD 用户的凭证。获取创建 ID 覆盖的 AD 用户的 Kerberos 凭证:
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
测试 AD 用户的 ID 覆盖是否从与该组中的任何 IdM 用户身份获取相同的特权。如果 AD 用户的 ID 覆盖已添加到
admins
组中,则 AD 用户可以在 IdM 中创建组:# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011