Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

34.4. ldapmodify를 사용하여 CLI에서 직접 IdM 단계 사용자 추가

이 섹션에서는 외부 프로비저닝 시스템의 관리자가 IdM(Identity Management) LDAP에 액세스하고 ldapmodify 유틸리티를 사용하여 stage 사용자를 추가하는 방법에 대해 설명합니다.

사전 요구 사항

  • IdM 관리자가 프로비저너 계정 과 암호를 생성했습니다. 자세한 내용은 단계 사용자 계정 자동 활성화를 위한 IdM 계정 준비를 참조하십시오.
  • 외부 관리자가 프로비저너 계정의 암호를 알고 있습니다.
  • LDAP 서버에서 IdM 서버에 SSH로 연결할 수 있습니다.
  • IdM 단계 사용자가 사용자 라이프사이클의 올바른 처리를 허용해야 하는 최소한의 속성 세트를 제공할 수 있습니다.

    • 고유 이름 (dn)
    • 일반 이름 (cn)
    • (sn)
    • uid

절차

  1. IdM ID 및 자격 증명을 사용하여 SSH 프로토콜을 사용하여 IdM 서버에 연결합니다.

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. 새 단계 사용자를 추가하는 역할의 IdM 사용자인 프로비저너 계정의 TGT를 가져옵니다.

    $ kinit provisionator
  3. ldapmodify 명령을 입력하고 인증에 사용할 SASL(Simple Authentication and Security Layer) 메커니즘으로 GSSAPI(Generic Security Services API)를 지정합니다. IdM 서버 이름 및 포트를 지정합니다.

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. 추가하려는 사용자의 dn 을 입력합니다.

    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  5. 수행 중인 변경 유형으로 add 를 입력합니다.

    changetype: add
  6. 사용자 라이프 사이클의 올바른 처리를 허용하는 데 필요한 LDAP 오브젝트 클래스 범주를 지정합니다.

    objectClass: top
    objectClass: inetorgperson

    추가 오브젝트 클래스를 지정할 수 있습니다.

  7. 사용자의 uid 를 입력합니다.

    uid: stageuser
  8. 사용자의 cn 을 입력합니다.

    cn: Babs Jensen
  9. 사용자의 성을 입력합니다.

    sn: Jensen
  10. Enter 를 다시 눌러 이것이 항목의 끝인지 확인합니다.

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Ctrl + C 사용하여 연결을 종료합니다.

검증 단계

stage 항목의 콘텐츠를 확인하여 프로비저닝 시스템에서 필요한 모든 POSIX 특성을 추가하고 stage 항목을 활성화할 준비가 되었는지 확인합니다.

  • 새 stage 사용자의 LDAP 속성을 표시하려면 ipa stageuser-show --all --raw 명령을 입력합니다.

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. 사용자는 nsaccountlock 특성에 의해 명시적으로 비활성화됩니다.