9.4. 使用 ldapmodify 保留 IdM 用户
按照以下流程,使用 ldapmodify 来保留 IdM 用户;即,如何在员工离开公司后停用用户帐户。
先决条件
- 您可以作为具有角色的 IdM 用户进行身份验证,来保留用户。
步骤
以具有角色的 IdM 用户身份登录,来保留用户:
$ kinit admin
输入
ldapmodify命令,并指定通用安全服务API(GSSAPI)作为用于身份验证的简单身份验证和安全层(SASL)机制:# ldapmodify -Y GSSAPI SASL/GSSAPI authentication started SASL username: admin@IDM.EXAMPLE.COM SASL SSF: 256 SASL data security layer installed.
输入您要保留的用户的
dn:dn: uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com
输入 modrdn 作为您要执行的更改的类型:
changetype: modrdn
为用户指定 newrdn :
newrdn: uid=user1
表示您要保留用户:
deleteoldrdn: 0
指定 新的高级 DN:
newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
保存用户会将条目移到目录信息树(DIT)中的新位置。因此,您必须将新父条目的 DN 指定为新的高级 DN。
再次按
Enter键确认输入结束:[Enter] modifying rdn of entry "uid=user1,cn=users,cn=accounts,dc=idm,dc=example,dc=com"
- 使用 Ctrl + C 退出连接。
验证步骤
通过列出所有 preserved 用户来验证用户是否已保留:
$ ipa user-find --preserved=true -------------- 1 user matched -------------- User login: user1 First name: First 1 Last name: Last 1 Home directory: /home/user1 Login shell: /bin/sh Principal name: user1@IDM.EXAMPLE.COM Principal alias: user1@IDM.EXAMPLE.COM Email address: user1@idm.example.com UID: 1997010003 GID: 1997010003 Account disabled: True Preserved user: True ---------------------------- Number of entries returned 1 ----------------------------
