Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 25. Configuración de IdM para el aprovisionamiento externo de usuarios
Como administrador del sistema, puede configurar la Gestión de Identidades (IdM) para que admita el aprovisionamiento de usuarios mediante una solución externa para la gestión de identidades.
En lugar de utilizar la utilidad ipa, el administrador del sistema de aprovisionamiento externo puede acceder al LDAP de IdM utilizando la utilidad ldapmodify. El administrador puede añadir usuarios de etapa individuales desde la CLI utilizando ldapmodify o utilizando un archivo LDIF.
Se supone que usted, como administrador de IdM, confía plenamente en su sistema de aprovisionamiento externo para que sólo añada usuarios validados. Sin embargo, al mismo tiempo no quiere asignar a los administradores del sistema de aprovisionamiento externo el rol de IdM de User Administrator para que puedan añadir nuevos usuarios activos directamente.
Puede configurar una secuencia de comandos para trasladar automáticamente los usuarios escalonados creados por el sistema de aprovisionamiento externo a usuarios activos.
Este capítulo contiene estas secciones:
- Preparar la gestión de identidades (IdM) para utilizar un sistema de aprovisionamiento externo para añadir usuarios de etapa a IdM.
- Creación de un script para mover los usuarios añadidos por el sistema de aprovisionamiento externo de la etapa a los usuarios activos.
Utilizar un sistema de aprovisionamiento externo para añadir un usuario de etapa IdM. Puede hacerlo de dos maneras:
Materiales adicionales
Para ver ejemplos y plantillas para utilizar ldapmodify como administrador completo de IdM para realizar operaciones de gestión de usuarios y grupos que requieren privilegios superiores, consulte Uso de ldapmodify.
25.1. Preparación de las cuentas de IdM para la activación automática de las cuentas de usuario de la etapa
Este procedimiento muestra cómo configurar dos cuentas de usuario de IdM para que las utilice un sistema de aprovisionamiento externo. Al añadir las cuentas a un grupo con una política de contraseñas adecuada, se permite que el sistema de aprovisionamiento externo gestione el aprovisionamiento de usuarios en IdM. A continuación, la cuenta de usuario que utilizará el sistema externo para añadir usuarios de etapa se denomina provisionator. La cuenta de usuario que se utilizará para activar automáticamente los usuarios de escenario se denomina activator.
Requisitos previos
- El host en el que se realiza el procedimiento está inscrito en IdM.
Procedimiento
Inicie sesión como administrador de IdM:
$ kinit admin
Cree un usuario llamado provisionator con privilegios para añadir usuarios de escenario.
- Añade la cuenta de usuario del provisionador:
$ ipa user-add provisionator --first=provisioning --last=account --password
Conceder al usuario provisionador los privilegios necesarios.
Cree un rol personalizado,
System Provisioning, para gestionar la adición de usuarios del escenario:$ ipa role-add --desc \ "Responsable de los usuarios de la etapa de aprovisionamiento" \ "Aprovisionamiento del sistema"
Añada el privilegio
Stage User Provisioningal rol. Este privilegio proporciona la capacidad de añadir usuarios de escenario:$ ipa role-add-privilege \ "System Provisioning" --privileges="Stage User Provisioning"
Añade el usuario provisionador al rol:
$ ipa role-add-member --users=provisionator \ "System Provisioning"
- Verifique que el provisionador existe en IdM:
$ ipa user-find provisionator --all --raw -------------- 1 user matched -------------- dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com uid: provisionator [...]
Cree un usuario, activator, con los privilegios para gestionar las cuentas de usuario.
Añade la cuenta de usuario del activador:
$ ipa user-add activator --first=activation --last=account --password
Conceda al usuario activador los privilegios necesarios añadiendo el usuario a la función predeterminada
User Administrator:$ ipa role-add-member --users=activator \ "User Administrator"
Cree un grupo de usuarios para las cuentas de la aplicación:
$ ipa group-add application-accounts
Actualice la política de contraseñas para el grupo. La siguiente política evita la caducidad de la contraseña y el bloqueo de la cuenta, pero compensa los posibles riesgos exigiendo contraseñas complejas:
$ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --history=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0
(Opcional) Compruebe que la política de contraseñas existe en IdM:
$ ipa pwpolicy-show application-accounts Group: application-accounts Max lifetime (days): 10000 Min lifetime (hours): 0 History size: 0 [...]
Añade las cuentas de aprovisionamiento y activación al grupo de cuentas de aplicación:
$ ipa group-add-member application-accounts --users={provisionator,activator}Cambie las contraseñas de las cuentas de usuario:
$ kpasswd provisionator $ kpasswd activator
El cambio de las contraseñas es necesario porque las contraseñas de los nuevos usuarios de IdM caducan inmediatamente.
Recursos adicionales:
- Para más detalles sobre la adición de nuevos usuarios, véase Gestión de cuentas de usuario mediante la línea de comandos.
- Para más detalles sobre la concesión a los usuarios de los privilegios necesarios para gestionar otras cuentas de usuario, véase Delegación de permisos sobre los usuarios.
- Para obtener más detalles sobre la gestión de las políticas de contraseñas de IdM, consulte Definición de políticas de contraseñas de IdM.
