Red Hat Training
A Red Hat training course is available for RHEL 8
40.2. IdM 스테이징 사용자 계정의 자동 활성화 구성
다음 절차에서는 스테이징 사용자를 활성화하는 스크립트를 생성하는 방법을 설명합니다. 시스템은 지정된 시간 간격에 따라 자동으로 스크립트를 실행합니다. 이렇게 하면 새 사용자 계정이 자동으로 활성화되고 생성된 직후 사용할 수 있습니다.
이 절차에서는 외부 프로비저닝 시스템의 소유자가 이미 사용자를 검증했으며 스크립트에서 IdM에 추가 검증이 필요하지 않다고 가정합니다.
IdM 서버 중 하나에서만 활성화 프로세스를 활성화할 수 있습니다.
사전 요구 사항
- 프로비저너 및 활성 기 계정은 IdM에 있습니다. 자세한 내용은 단계 사용자 계정 자동 활성화를 위한 IdM 계정 준비를 참조하십시오.
- 프로시저를 실행 중인 IdM 서버에 대한 root 권한이 있습니다.
- IdM 관리자로 로그인했습니다.
- 외부 프로비저닝 시스템을 신뢰합니다.
절차
활성화 계정에 대한 keytab 파일을 생성합니다.
# ipa-getkeytab -s server.idm.example.com -p "activator" -k /etc/krb5.ipa-activation.keytab
둘 이상의 IdM 서버에서 활성화 프로세스를 활성화하려면 하나의 서버에만 keytab 파일을 생성합니다. 그런 다음 키탭 파일을 다른 서버에 복사합니다.
다음 내용으로
/usr/local/sbin/ipa-activate-all스크립트를 생성하여 모든 사용자를 활성화합니다.#!/bin/bash kinit -k -i activator ipa stageuser-find --all --raw | grep " uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; doneipa-activate-all스크립트의 권한 및 소유권을 편집하여 실행 가능하게 만듭니다.# chmod 755 /usr/local/sbin/ipa-activate-all # chown root:root /usr/local/sbin/ipa-activate-all
다음 콘텐츠를 사용하여 systemd 장치 파일
/etc/systemd/system/ipa-activate-all.service를 만듭니다.[Unit] Description=Scan IdM every minute for any stage users that must be activated [Service] Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all ExecStart=/usr/local/sbin/ipa-activate-all
다음 내용을 사용하여 systemd 타이머
/etc/systemd/system/ipa-activate-all.timer을 만듭니다.[Unit] Description=Scan IdM every minute for any stage users that must be activated [Timer] OnBootSec=15min OnUnitActiveSec=1min [Install] WantedBy=multi-user.target
새 구성을 다시 로드합니다.
# systemctl daemon-reload
ipa-activate-all.timer:# systemctl enable ipa-activate-all.timer
ipa-activate-all.timer시작 :# systemctl start ipa-activate-all.timer
(선택 사항)
ipa-activate-all.timer 데몬이실행 중인지 확인합니다.# systemctl status ipa-activate-all.timer ● ipa-activate-all.timer - Scan IdM every minute for any stage users that must be activated Loaded: loaded (/etc/systemd/system/ipa-activate-all.timer; enabled; vendor preset: disabled) Active: active (waiting) since Wed 2020-06-10 16:34:55 CEST; 15s ago Trigger: Wed 2020-06-10 16:35:55 CEST; 44s left Jun 10 16:34:55 server.idm.example.com systemd[1]: Started Scan IdM every minute for any stage users that must be activated.
