11.4. ldapmodify를 사용하여 CLI에서 직접 IdM 스테이지 사용자 추가

다음 절차에 따라 IdM(Identity Management) LDAP에 액세스하고 ldapmodify 유틸리티를 사용하여 스테이징 사용자를 추가합니다.

사전 요구 사항

  • IdM 관리자가 프로젝터 계정과 암호를 생성했습니다. 자세한 내용은 스테이지 사용자 계정의 자동 활성화를 위한 IdM 계정 준비를 참조하십시오.
  • 외부 관리자는 프로젝터 계정의 암호를 알고 있습니다.
  • LDAP 서버에서 IdM 서버에 SSH를 수행할 수 있습니다.
  • IdM 단계 사용자가 사용자 라이프사이클의 올바른 처리를 허용해야 하는 최소한의 속성 세트를 제공할 수 있습니다.

    • 고유 이름 (dn)
    • 일반 이름 (cn)
    • 마지막 이름 (sn)
    • 이메일 주소

절차

  1. IdM ID 및 인증 정보를 사용하여 IdM 서버에 연결하려면 SSH 프로토콜을 사용합니다.

    $ ssh provisionator@server.idm.example.com
    Password:
    [provisionator@server ~]$
  2. 프로비저닝기 계정의 TGT, 새 단계 사용자를 추가할 역할이 있는 IdM 사용자를 가져옵니다.

    $ kinit provisionator
  3. ldapmodify 명령을 입력하고 인증에 사용할 SASL(Simple Authentication and Security Layer) 메커니즘으로 GSSAPI(Generic Security Services API)를 지정합니다. IdM 서버 이름과 포트를 지정합니다.

    # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
    SASL/GSSAPI authentication started
    SASL username: provisionator@IDM.EXAMPLE.COM
    SASL SSF: 56
    SASL data security layer installed.
  4. 추가할 사용자의 dn 을 입력합니다.Enter the dn of the user you are adding:

    dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
  5. 수행하는 변경 사항의 유형으로 add 를 입력합니다.

    changetype: add
  6. 사용자 라이프 사이클의 올바른 처리를 허용하는 데 필요한 LDAP 오브젝트 클래스 카테고리를 지정합니다.

    objectClass: top
    objectClass: inetorgperson

    추가 오브젝트 클래스를 지정할 수 있습니다.

  7. 사용자의 uid 를 입력합니다.

    uid: stageuser
  8. 사용자의 cn 을 입력합니다.

    cn: Babs Jensen
  9. 사용자 이름을 입력합니다.

    sn: Jensen
  10. Enter 를 다시 눌러 항목의 끝인지 확인합니다.

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"
  11. Ctrl + C 를 사용하여 연결을 종료합니다.

검증 단계

스테이징 항목의 콘텐츠를 확인하여 프로비저닝 시스템이 필요한 모든 POSIX 속성을 추가하고 스테이징 항목을 활성화할 준비가 되었는지 확인합니다.

  • 새 스테이지 사용자의 LDAP 속성을 표시하려면 ipa stageuser-show --all --raw 명령을 입력합니다.

    $ ipa stageuser-show stageuser --all --raw
      dn: uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
      uid: stageuser
      sn: Jensen
      cn: Babs Jensen
      has_password: FALSE
      has_keytab: FALSE
      nsaccountlock: TRUE
      objectClass: top
      objectClass: inetorgperson
      objectClass: organizationalPerson
      objectClass: person
    1. 사용자는 nsaccountlock 속성에서 명시적으로 비활성화 됩니다.