Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 26. Uso de ldapmodify para gestionar los usuarios de IdM de forma externa
Puede modificar el LDAP de Identity Management (IdM) directamente desde la interfaz de línea de comandos (CLI) utilizando las utilidades ldapmodify
y ldapdelete
. Las utilidades proporcionan una funcionalidad completa para añadir, editar y eliminar el contenido del directorio. Puede utilizar estas utilidades para gestionar tanto las entradas de configuración del servidor como los datos de las entradas de usuario. Las utilidades también se pueden utilizar para escribir scripts para realizar una gestión masiva de uno o más directorios.
26.1. Plantillas para gestionar externamente las cuentas de usuario de IdM
Esta sección describe las plantillas para varias operaciones de gestión de usuarios en IdM. Las plantillas muestran los atributos que debe modificar mediante ldapmodify
para lograr los siguientes objetivos:
- Añadir un nuevo usuario de escenario
- Modificar el atributo de un usuario
- Habilitación de un usuario
- Desactivar un usuario
- Conservación de un usuario
Las plantillas están formateadas en el formato de intercambio de datos LDAP (LDIF). LDIF es un formato estándar de intercambio de datos en texto plano para representar el contenido del directorio LDAP y las solicitudes de actualización.
Utilizando las plantillas, puede configurar el proveedor LDAP de su sistema de aprovisionamiento para gestionar las cuentas de usuario de IdM.
Para ver ejemplos de procedimientos detallados, consulte las siguientes secciones:
Plantillas para añadir un nuevo usuario de escenario
Una plantilla para añadir un usuario con UID and GID assigned automatically. El nombre distinguido (DN) de la entrada creada debe empezar por
uid=user_login
:dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com changetype: add objectClass: top objectClass: inetorgperson uid: user_login sn: surname givenName: first_name cn: full_name
Una plantilla para añadir un usuario con UID and GID assigned statically:
dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com changetype: add objectClass: top objectClass: person objectClass: inetorgperson objectClass: organizationalperson objectClass: posixaccount uid: user_login uidNumber: UID_number gidNumber: GID_number sn: surname givenName: first_name cn: full_name homeDirectory: /home/user_login
No es necesario especificar ninguna clase de objeto IdM cuando se añaden usuarios de escenario. IdM añade estas clases automáticamente después de que se activen los usuarios.
Plantillas para modificar los usuarios existentes
Modifying a user’s attribute:
dn: distinguished_name changetype: modify replace: attribute_to_modify attribute_to_modify: new_value
Disabling a user:
dn: distinguished_name changetype: modify replace: nsAccountLock nsAccountLock: TRUE
Enabling a user:
dn: distinguished_name changetype: modify replace: nsAccountLock nsAccountLock: FALSE
La actualización del atributo
nssAccountLock
no tiene ningún efecto sobre los usuarios de la etapa y los preservados. Aunque la operación de actualización se complete con éxito, el valor del atributo sigue siendonssAccountLock: TRUE
.Preserving a user:
dn: distinguished_name changetype: modrdn newrdn: uid=user_login deleteoldrdn: 0 newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
Antes de modificar un usuario, obtenga el nombre distinguido (DN) del usuario mediante una búsqueda con el nombre de usuario. En el siguiente ejemplo, el usuario user_allowed_to_modify_user_entries es un usuario autorizado a modificar la información de usuarios y grupos, por ejemplo activator o administrador de IdM. La contraseña del ejemplo es la de este usuario:
[...]
# ldapsearch -LLL -x -D "uid=user_allowed_to_modify_user_entries,cn=users,cn=accounts,dc=idm,dc=example,dc=com" -w "Secret123" -H ldap://r8server.idm.example.com -b "cn=users,cn=accounts,dc=idm,dc=example,dc=com" uid=test_user
dn: uid=test_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=idm,dc=example,dc=com