Red Hat Training

A Red Hat training course is available for RHEL 8

25.4. Añadir un usuario del escenario IdM directamente desde la CLI usando ldapmodify

Esta sección describe cómo un administrador de un sistema de aprovisionamiento externo puede acceder al LDAP de Gestión de Identidades (IdM) y utilizar la utilidad ldapmodify para añadir un usuario de escenario.

Requisitos previos

  • El administrador de IdM ha creado la cuenta provisionator y una contraseña para ella. Para obtener más información, consulte Preparación de las cuentas de IdM para la activación automática de las cuentas de usuario de escenario.
  • Usted, como administrador externo, conoce la contraseña de la cuenta provisionator.
  • Puedes acceder mediante SSH al servidor IdM desde tu servidor LDAP.

  • Puede suministrar el conjunto mínimo de atributos que debe tener un usuario de la etapa IdM para permitir el correcto procesamiento del ciclo de vida del usuario, a saber

    • El distinguished name (dn)
    • El common name (cn)
    • El last name (sn)
    • El uid

Procedimiento

  1. Utilice el protocolo SSH para conectarse al servidor de IdM utilizando su identidad y credenciales de IdM: 

    $ ssh provisionator@server.idm.example.com
Password:
[provisionator@server ~]$

  2. Obtenga el TGT de la cuenta provisionator, un usuario de IdM con un rol para agregar nuevos usuarios de escenario: 

    $ kinit provisionator

  3. Introduzca el comando ldapmodify y especifique Generic Security Services API (GSSAPI) como mecanismo de Simple Authentication and Security Layer (SASL) a utilizar para la autenticación. Especifique el nombre del servidor IdM y el puerto: 

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
SASL/GSSAPI authentication started
SASL username: provisionator@IDM.EXAMPLE.COM
SASL SSF: 56
SASL data security layer installed.

  4. Introduzca la dirección dn del usuario que va a añadir: 

    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com

  5. Introduzca add como el tipo de cambio que está realizando: 

    tipo de cambio: añadir

  6. Especifique las categorías de clase de objeto LDAP necesarias para permitir el correcto procesamiento del ciclo de vida del usuario: 

    objectClass: top
objectClass: inetorgperson

    Se pueden especificar clases de objetos adicionales.

  7. Introduzca la dirección uid del usuario: 

    uid: stageuser

  8. Introduzca la dirección cn del usuario: 

    cn: Babs Jensen

  9. Introduzca el apellido del usuario: 

    sn: Jensen

  10. Vuelva a pulsar Enter para confirmar que es el final de la entrada: 

    [Enter]

adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Salga de la conexión mediante Ctrl C .

Pasos de verificación

Verifique el contenido de la entrada del escenario para asegurarse de que su sistema de aprovisionamiento ha añadido todos los atributos POSIX necesarios y la entrada del escenario está lista para ser activada.

  • Para mostrar los atributos LDAP del nuevo usuario del escenario, introduzca el comando ipa stageuser-show --all --raw: 

    $ ipa stageuser-show stageuser --all --raw
  dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  uid: stageuser
  sn: Jensen
  cn: Babs Jensen
  has_password: FALSE
  has_keytab: FALSE
  nsaccountlock: TRUE
  objectClass: top
  objectClass: inetorgperson
  objectClass: organizationalPerson
  objectClass: person
    1. Tenga en cuenta que el usuario está explícitamente desactivado por el atributo nsaccountlock.