Red Hat Training
A Red Hat training course is available for RHEL 8
25.4. Añadir un usuario del escenario IdM directamente desde la CLI usando ldapmodify
Esta sección describe cómo un administrador de un sistema de aprovisionamiento externo puede acceder al LDAP de Gestión de Identidades (IdM) y utilizar la utilidad ldapmodify
para añadir un usuario de escenario.
Requisitos previos
- El administrador de IdM ha creado la cuenta provisionator y una contraseña para ella. Para obtener más información, consulte Preparación de las cuentas de IdM para la activación automática de las cuentas de usuario de escenario.
- Usted, como administrador externo, conoce la contraseña de la cuenta provisionator.
- Puedes acceder mediante SSH al servidor IdM desde tu servidor LDAP.
Puede suministrar el conjunto mínimo de atributos que debe tener un usuario de la etapa IdM para permitir el correcto procesamiento del ciclo de vida del usuario, a saber
-
El
distinguished name
(dn) -
El
common name
(cn) -
El
last name
(sn) -
El
uid
-
El
Procedimiento
Utilice el protocolo
SSH
para conectarse al servidor de IdM utilizando su identidad y credenciales de IdM:$ ssh provisionator@server.idm.example.com Password: [provisionator@server ~]$
Obtenga el TGT de la cuenta provisionator, un usuario de IdM con un rol para agregar nuevos usuarios de escenario:
$ kinit provisionator
Introduzca el comando
ldapmodify
y especifique Generic Security Services API (GSSAPI) como mecanismo de Simple Authentication and Security Layer (SASL) a utilizar para la autenticación. Especifique el nombre del servidor IdM y el puerto:# ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI SASL/GSSAPI authentication started SASL username: provisionator@IDM.EXAMPLE.COM SASL SSF: 56 SASL data security layer installed.
Introduzca la dirección
dn
del usuario que va a añadir:dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
Introduzca add como el tipo de cambio que está realizando:
tipo de cambio: añadir
Especifique las categorías de clase de objeto LDAP necesarias para permitir el correcto procesamiento del ciclo de vida del usuario:
objectClass: top objectClass: inetorgperson
Se pueden especificar clases de objetos adicionales.
Introduzca la dirección
uid
del usuario:uid: stageuser
Introduzca la dirección
cn
del usuario:cn: Babs Jensen
Introduzca el apellido del usuario:
sn: Jensen
Vuelva a pulsar
Enter
para confirmar que es el final de la entrada:[Enter] adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
- Salga de la conexión mediante Ctrl C .
Pasos de verificación
Verifique el contenido de la entrada del escenario para asegurarse de que su sistema de aprovisionamiento ha añadido todos los atributos POSIX necesarios y la entrada del escenario está lista para ser activada.
Para mostrar los atributos LDAP del nuevo usuario del escenario, introduzca el comando
ipa stageuser-show --all --raw
:$ ipa stageuser-show stageuser --all --raw dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com uid: stageuser sn: Jensen cn: Babs Jensen has_password: FALSE has_keytab: FALSE nsaccountlock: TRUE objectClass: top objectClass: inetorgperson objectClass: organizationalPerson objectClass: person
-
Tenga en cuenta que el usuario está explícitamente desactivado por el atributo
nsaccountlock
.
-
Tenga en cuenta que el usuario está explícitamente desactivado por el atributo