11.2. IdM 단계 사용자 계정의 자동 활성화 구성
다음 절차에서는 스테이지 사용자를 활성화하는 스크립트를 만드는 방법을 보여줍니다. 시스템은 지정된 시간 간격으로 자동으로 스크립트를 실행합니다. 이렇게 하면 새 사용자 계정이 자동으로 활성화되고 생성된 직후 사용할 수 있습니다.
이 절차에서는 외부 프로비저닝 시스템의 소유자가 이미 사용자를 검증했으며 스크립트가 IdM에 추가되기 전에 IdM 측에 추가 검증이 필요하지 않다고 가정합니다.
IdM 서버 중 하나에서 활성화 프로세스를 활성화하는 것만으로 충분합니다.
사전 요구 사항
- IdM에 프로비저닝기 및 활성 기 계정이 있습니다. 자세한 내용은 스테이지 사용자 계정의 자동 활성화를 위한 IdM 계정 준비를 참조하십시오.
- 프로시저를 실행 중인 IdM 서버에 대한 root 권한이 있어야 합니다.
- IdM 관리자로 로그인되어 있습니다.
- 외부 프로비저닝 시스템을 신뢰합니다.
절차
활성화 계정에 대한 키탭 파일을 생성합니다.
# ipa-getkeytab -s server.idm.example.com -p "activator" -k /etc/krb5.ipa-activation.keytab
둘 이상의 IdM 서버에서 활성화 프로세스를 활성화하려면 하나의 서버에만 키탭 파일을 생성합니다. 그런 다음 키탭 파일을 다른 서버에 복사합니다.
모든 사용자를 활성화할 다음 콘텐츠를 사용하여
/usr/local/sbin/ipa-activate-all
스크립트를 생성합니다.#!/bin/bash kinit -k -i activator ipa stageuser-find --all --raw | grep " uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; done
ipa-activate-all
스크립트의 권한 및 소유권을 편집하여 실행 가능하게 만듭니다.# chmod 755 /usr/local/sbin/ipa-activate-all # chown root:root /usr/local/sbin/ipa-activate-all
다음 콘텐츠를 사용하여 systemd 장치 파일
/etc/systemd/system/ipa-activate-all.service
를 만듭니다.[Unit] Description=Scan IdM every minute for any stage users that must be activated [Service] Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all ExecStart=/usr/local/sbin/ipa-activate-all
다음 콘텐츠를 사용하여 systemd 타이머
/etc/systemd/system/ipa-activate-all.timer
를 만듭니다.[Unit] Description=Scan IdM every minute for any stage users that must be activated [Timer] OnBootSec=15min OnUnitActiveSec=1min [Install] WantedBy=multi-user.target
새 구성을 다시 로드합니다.
# systemctl daemon-reload
ipa-activate-all.timer
를 활성화합니다.# systemctl enable ipa-activate-all.timer
ipa-activate-all.timer
를 시작합니다.# systemctl start ipa-activate-all.timer
(선택 사항)
ipa-activate-all.timer
데몬이 실행 중인지 확인합니다.# systemctl status ipa-activate-all.timer ● ipa-activate-all.timer - Scan IdM every minute for any stage users that must be activated Loaded: loaded (/etc/systemd/system/ipa-activate-all.timer; enabled; vendor preset: disabled) Active: active (waiting) since Wed 2020-06-10 16:34:55 CEST; 15s ago Trigger: Wed 2020-06-10 16:35:55 CEST; 44s left Jun 10 16:34:55 server.idm.example.com systemd[1]: Started Scan IdM every minute for any stage users that must be activated.