Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

35장. ldapmodify를 사용하여 IdM 사용자 외부 관리

ldapmodify 및 ldap delete 유틸리티를 사용하여 명령줄 인터페이스(CLI)에서 직접 IdM(Identity Management) LDAP를 수정할 수 있습니다. 유틸리티는 디렉터리 내용을 추가, 편집 및 삭제하는 완전한 기능을 제공합니다. 이러한 유틸리티를 사용하여 서버의 구성 항목과 사용자 항목의 데이터를 모두 관리할 수 있습니다. 유틸리티를 사용하여 하나 이상의 디렉터리를 대량으로 관리하는 스크립트를 작성할 수도 있습니다.

35.1. 외부에서 IdM 사용자 계정을 관리하는 템플릿

이 섹션에서는 IdM의 다양한 사용자 관리 작업에 대한 템플릿을 설명합니다. 템플릿은 다음 목표를 달성하기 위해 ldapmodify 를 사용하여 수정해야 하는 속성을 표시합니다.

  • 새 단계 사용자 추가
  • 사용자 속성 수정
  • 사용자 활성화
  • 사용자 비활성화
  • 사용자 보존

템플릿은 LDAP(LDIF)로 포맷됩니다. LDIF는 LDAP 디렉터리 콘텐츠를 표시하고 요청을 업데이트하기 위한 표준 일반 텍스트 데이터 교환 형식입니다.

템플릿을 사용하여 IdM 사용자 계정을 관리하도록 프로비저닝 시스템의 LDAP 프로바이더를 구성할 수 있습니다.

자세한 예제 절차는 다음 섹션을 참조하십시오.

새 스테이징 사용자를 추가하기 위한 템플릿

  • UID 및 GID가 자동으로 할당된 사용자를 추가하는 템플릿. 생성된 항목의 고유 이름(DN)은 uid=user_login 으로 시작해야 합니다.

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
    changetype: add
    objectClass: top
    objectClass: inetorgperson
    uid: user_login
    sn: surname
    givenName: first_name
    cn: full_name
  • 정적으로 UID 및 GID가 할당된 사용자를 추가하는 템플릿 :

    dn: uid=user_login,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
    changetype: add
    objectClass: top
    objectClass: person
    objectClass: inetorgperson
    objectClass: organizationalperson
    objectClass: posixaccount
    uid: user_login
    uidNumber: UID_number
    gidNumber: GID_number
    sn: surname
    givenName: first_name
    cn: full_name
    homeDirectory: /home/user_login

    스테이징 사용자를 추가할 때 IdM 오브젝트 클래스를 지정할 필요는 없습니다. IdM은 사용자가 활성화된 후 이러한 클래스를 자동으로 추가합니다.

기존 사용자 수정을 위한 템플릿

  • 사용자의 속성 수정:

    dn: distinguished_name
    changetype: modify
    replace: attribute_to_modify
    attribute_to_modify: new_value
  • 사용자 비활성화:

    dn: distinguished_name
    changetype: modify
    replace: nsAccountLock
    nsAccountLock: TRUE
  • 사용자 활성화:

    dn: distinguished_name
    changetype: modify
    replace: nsAccountLock
    nsAccountLock: FALSE

    nssAccountLock 특성을 업데이트해도 단계 및 보존된 사용자에게는 영향을 미치지 않습니다. 업데이트 작업이 성공적으로 완료되었지만 속성 값은 nssAccountLock으로 유지됩니다. TRUE.

  • 사용자 보존:

    dn: distinguished_name
    changetype: modrdn
    newrdn: uid=user_login
    deleteoldrdn: 0
    newsuperior: cn=deleted users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
참고

사용자를 수정하기 전에 사용자의 로그인을 통해 검색하여 사용자의 고유 이름(DN)을 획득합니다. 다음 예에서 user_allowed_to_modify_user_entries 사용자는 활성화 기 또는 IdM 관리자와 같이 사용자 및 그룹 정보를 수정할 수 있는 사용자입니다. 예제의 암호는 이 사용자의 암호입니다.

[...]
# ldapsearch -LLL -x -D "uid=user_allowed_to_modify_user_entries,cn=users,cn=accounts,dc=idm,dc=example,dc=com" -w "Secret123" -H ldap://r8server.idm.example.com -b "cn=users,cn=accounts,dc=idm,dc=example,dc=com" uid=test_user
dn: uid=test_user,cn=users,cn=accounts,dc=idm,dc=example,dc=com
memberOf: cn=ipausers,cn=groups,cn=accounts,dc=idm,dc=example,dc=com