Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 26. Uso de ldapmodify para gestionar los usuarios de IdM de forma externa

Puede modificar el LDAP de Identity Management (IdM) directamente desde la interfaz de línea de comandos (CLI) utilizando las utilidades ldapmodify y ldapdelete. Las utilidades proporcionan una funcionalidad completa para añadir, editar y eliminar el contenido del directorio. Puede utilizar estas utilidades para gestionar tanto las entradas de configuración del servidor como los datos de las entradas de usuario. Las utilidades también se pueden utilizar para escribir scripts para realizar una gestión masiva de uno o más directorios.

26.1. Plantillas para gestionar externamente las cuentas de usuario de IdM

Esta sección describe las plantillas para varias operaciones de gestión de usuarios en IdM. Las plantillas muestran los atributos que debe modificar mediante ldapmodify para lograr los siguientes objetivos:

  • Añadir un nuevo usuario de escenario
  • Modificar el atributo de un usuario
  • Habilitación de un usuario
  • Desactivar un usuario
  • Conservación de un usuario

Las plantillas están formateadas en el formato de intercambio de datos LDAP (LDIF). LDIF es un formato estándar de intercambio de datos en texto plano para representar el contenido del directorio LDAP y las solicitudes de actualización.

Utilizando las plantillas, puede configurar el proveedor LDAP de su sistema de aprovisionamiento para gestionar las cuentas de usuario de IdM.

Para ver ejemplos de procedimientos detallados, consulte las siguientes secciones:

Plantillas para añadir un nuevo usuario de escenario

  • Una plantilla para añadir un usuario con UID and GID assigned automatically. El nombre distinguido (DN) de la entrada creada debe empezar por uid=user_login: 

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
changetype: add
objectClass: top
objectClass: inetorgperson
uid: user_login
sn: surname
givenName: first_name
cn: full_name

  • Una plantilla para añadir un usuario con UID and GID assigned statically: 

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: inetorgperson
objectClass: organizationalperson
objectClass: posixaccount
uid: user_login
uidNumber: UID_number
gidNumber: GID_number
sn: surname
givenName: first_name
cn: full_name
homeDirectory: /home/user_login

    No es necesario especificar ninguna clase de objeto IdM cuando se añaden usuarios de escenario. IdM añade estas clases automáticamente después de que se activen los usuarios.

Plantillas para modificar los usuarios existentes

  • Modifying a user’s attribute: 

    dn: distinguished_name
changetype: modify
replace: attribute_to_modify
attribute_to_modify: new_value

  • Disabling a user: 

    dn: distinguished_name
changetype: modify
replace: nsAccountLock
nsAccountLock: TRUE

  • Enabling a user: 

    dn: distinguished_name
changetype: modify
replace: nsAccountLock
nsAccountLock: FALSE

    La actualización del atributo nssAccountLock no tiene ningún efecto sobre los usuarios de la etapa y los preservados. Aunque la operación de actualización se complete con éxito, el valor del atributo sigue siendo nssAccountLock: TRUE.

  • Preserving a user: 

    dn: distinguished_name
changetype: modrdn
newrdn: uid=user_login
deleteoldrdn: 0
newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
Nota

Antes de modificar un usuario, obtenga el nombre distinguido (DN) del usuario mediante una búsqueda con el nombre de usuario. En el siguiente ejemplo, el usuario user_allowed_to_modify_user_entries es un usuario autorizado a modificar la información de usuarios y grupos, por ejemplo activator o administrador de IdM. La contraseña del ejemplo es la de este usuario: 

[...]
# ldapsearch -LLL -x -D "uid=user_allowed_to_modify_user_entries,cn=users,cn=accounts,dc=idm,dc=example,dc=com" -w "Secret123" -H ldap://r8server.idm.example.com -b "cn=users,cn=accounts,dc=idm,dc=example,dc=com" uid=test_user
dn: uid=test_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=idm,dc=example,dc=com