52.4. AD 사용자가 IdM CLI에서 올바른 명령을 수행할 수 있는지 확인

이 절차에서는 AD(Active Directory) 사용자가 IdM(Identity Management) 명령줄 인터페이스(CLI)에 로그인할 수 있는지 확인하고 해당 역할에 적합한 명령을 실행합니다.

  1. IdM 관리자의 현재 Kerberos 티켓을 삭제합니다.

    # kdestroy -A
    참고

    MIT Kerberos의 GSSAPI 구현에서 기본 설정별로 대상 서비스의 영역에서 자격 증명을 선택하기 때문에 Kerberos 티켓을 제거해야 합니다. 이 경우 IdM 영역입니다. 즉, 인증 정보 캐시 컬렉션, 즉 KCM:, KEYRING:, DIR: 자격 증명 캐시 유형이 사용 중인 경우 이전에 가져온 admin 또는 기타 IdM 주체의 인증 정보가 AD 사용자 자격 증명 대신 IdM API에 액세스하는 데 사용됩니다.

  2. ID 덮어쓰기를 만든 AD 사용자의 Kerberos 자격 증명을 가져옵니다.

    # kinit ad_user@AD.EXAMPLE.COM
    Password for ad_user@AD.EXAMPLE.COM:
  3. AD 사용자의 ID 재정의가 해당 그룹의 IdM 사용자와 동일한 권한을 갖는지 테스트합니다. AD 사용자의 ID 재정의가 admins 그룹에 추가된 경우, 예를 들어 AD 사용자는 IdM에 그룹을 생성할 수 있습니다.

    # ipa group-add some-new-group
    ----------------------------
    Added group "some-new-group"
    ----------------------------
      Group name: some-new-group
      GID: 1997000011