51.4. AD ユーザーが IdM CLI で正しいコマンドを実行できることの確認
Active Directory (AD) ユーザーが Identity Management (IdM) コマンドラインインターフェイス (CLI) にログインし、自分のロールに適したコマンドを実行できることを確認します。
IdM 管理者の、現在の Kerberos チケットを破棄します。
# kdestroy -A注記MIT Kerberos の GSSAPI 実装が優先的にターゲットサービスの領域 (この場合は IdM レルム) から認証情報を選択するため、Kerberos チケットの破棄が必要です。これは、認証情報のキャッシュコレクションを意味します。つまり、タイプが
KCM:、KEYRING:、またはDIR:の認証情報キャッシュが使用されている場合、AD ユーザーの認証情報の代わりに、以前に取得したadminまたはその他の IdM プリンシパルの認証情報が、IdM API にアクセスするために使用されます。ID オーバーライドが作成された AD ユーザーの Kerberos 認証情報を入手します。
# kinit ad_user@AD.EXAMPLE.COM Password for ad_user@AD.EXAMPLE.COM:
AD ユーザーの ID オーバーライド使用する、IdM グループのメンバーシップから生じるパーミッションが、そのグループ内の任意の IdM ユーザーと同じものであることをテストします。AD ユーザーの ID オーバーライドが
adminsグループに追加されている場合、AD ユーザーは、たとえば IdM にグループを作成できます。# ipa group-add some-new-group ---------------------------- Added group "some-new-group" ---------------------------- Group name: some-new-group GID: 1997000011
