Red Hat Training

A Red Hat training course is available for RHEL 8

58.2. Uso de anulaciones de ID para que los usuarios de AD puedan administrar IdM

Requisitos previos

  • El flujo idm:DL1 está habilitado en su servidor de Gestión de Identidades (IdM) y ha cambiado a los RPMs entregados a través de este flujo: 

    # yum module enable idm:DL1
# yum distro-sync

  • El perfil idm:DL1/adtrust está instalado en su servidor IdM. 

    # yum module install idm:DL1/adtrust

    El perfil contiene todos los paquetes necesarios para instalar un servidor IdM que tendrá un acuerdo de confianza con Active Directory (AD), incluido el paquete ipa-idoverride-memberof.

  • Se ha configurado un entorno de IdM que funciona. Para más detalles, consulte Instalación de la gestión de identidades.
  • Se ha establecido una confianza de trabajo entre su entorno de IdM y AD.

Procedimiento

Este procedimiento describe la creación y el uso de una anulación de ID para un usuario de AD con el fin de otorgarle derechos idénticos a los de un usuario de IdM. Durante este procedimiento, trabaje en un servidor IdM que esté configurado como controlador de confianza o agente de confianza. Para obtener más información sobre los controladores de confianza y los agentes de confianza, consulte Trust controllers and trust agents en Planificación de la gestión de identidades.

  1. Como administrador de IdM, cree una sustitución de ID para un usuario de AD en la vista de confianza predeterminada. Por ejemplo, para crear una sustitución de ID para el usuario ad_user@ad.example.com: 

    # kinit admin
# ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com

  2. Añade la sustitución de ID de la vista de confianza predeterminada como miembro de un grupo IdM. Si el grupo en cuestión es miembro de un rol de IdM, el usuario de AD representado por la sustitución de ID obtendrá todos los permisos concedidos por el rol al utilizar la API de IdM, incluida la interfaz de línea de comandos y la interfaz web de IdM. Por ejemplo, para añadir la sustitución del ID del usuario ad_user@ad.example.com al grupo admins: 

    # ipa group-add-member admins --idoverrideusers=ad_user@ad.example.com