Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

72.3. IdM CLI를 AD 사용자로 관리

이 절차에서는 AD(Active Directory) 사용자가 IdM(Identity Management) CLI(명령줄 인터페이스)에 로그인하고 역할에 적합한 명령을 실행할 수 있는지 확인합니다.

  1. IdM 관리자의 현재 Kerberos 티켓을 삭제합니다.

    # kdestroy -A
    참고

    MIT Kerberos의 GSSAPI 구현에서 기본 설정에 따라 대상 서비스의 자격 증명을 선택하기 때문에 Kerberos 티켓 제거가 필요합니다. 이 경우에는 IdM 영역입니다. 즉, 자격 증명 캐시 컬렉션, 즉 KCM:, KEYRING: 또는 DIR: 자격 증명 캐시 유형이 사용 중인 경우 이전에 획득한 admin 또는 기타 IdM 주체의 자격 증명이 AD 사용자의 자격 증명 대신 IdM API에 사용됩니다.

  2. ID 재정의가 생성된 AD 사용자의 Kerberos 자격 증명을 가져옵니다.

    # kinit ad_user@AD.EXAMPLE.COM
    Password for ad_user@AD.EXAMPLE.COM:
  3. AD 사용자의 ID 재정의가 해당 그룹의 IdM 그룹과 IdM 그룹의 멤버십에서 발생하는 동일한 권한을 사용하는지 테스트합니다. AD 사용자의 ID 재정의가 admins 그룹에 추가된 경우 AD 사용자는 IdM에 그룹을 생성할 수 있습니다.

    # ipa group-add some-new-group
    ----------------------------
    Added group "some-new-group"
    ----------------------------
      Group name: some-new-group
      GID: 1997000011