Procedimento

1. Para fazer login na IdM

   • sob o nome do usuário que está atualmente logado no sistema local, use kinit sem especificar um nome de usuário. Por exemplo, se você estiver logado como example_user no sistema local:

     [example_user@server ~]$ kinit
     Password for example_user@EXAMPLE.COM:
     [example_user@server ~]$

     Se o nome do usuário local não corresponder a nenhuma entrada de usuário no IdM, a tentativa de autenticação falha:

     [example_user@server ~]$ kinit
     kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials

   • usando um Kerberos principal que não corresponde ao seu nome de usuário local, passe o nome de usuário requerido para o utilitário kinit. Por exemplo, para fazer o login como usuário admin:

     [example_user@server ~]$ kinit admin
     Password for admin@EXAMPLE.COM:
     [example_user@server ~]$

2. Opcionalmente, para verificar se o login foi bem sucedido, use o utilitário klist para exibir o TGT em cache. No exemplo a seguir, o cache contém um ticket para o principal example_user, o que significa que neste host em particular, apenas example_user está atualmente autorizado a acessar os serviços da IdM:

   $ klist
   Ticket cache: KEYRING:persistent:0:0
   Default principal: example_user@EXAMPLE.COM
   
   Valid starting     	Expires            	Service principal
   11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

Procedimento

1. Para destruir seu bilhete Kerberos:

   [exemplo_utilizador@servidor ~]$ kdestroy

2. Opcionalmente, para verificar se o bilhete do Kerberos foi destruído:

   [example_user@server ~]$ klist
   klist: Credentials cache keyring 'persistent:0:0' not found

Procedimento

1. Copie o arquivo /etc/krb5.conf do servidor da IdM para o sistema externo. Por exemplo:

   # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf

   Atenção

   Não sobrescreva o arquivo krb5.conf existente no sistema externo.

2. No sistema externo, configure a sessão terminal para usar o arquivo de configuração copiado da IdM Kerberos:

   $ export KRB5_CONFIG=/etc/krb5_ipa.conf

   A variável KRB5_CONFIG existe apenas temporariamente até que você termine a sessão. Para evitar esta perda, exporte a variável com um nome de arquivo diferente.

3. Copie os trechos de configuração Kerberos do diretório /etc/krb5.conf.d/ para o sistema externo.

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Digite ipa help topics para exibir uma lista de tópicos cobertos pela ajuda.

   $ ipa help topics

3. Selecione um dos tópicos e crie um comando de acordo com o seguinte padrão: ipa help [topic_name], em vez da string topic_name, adicione um dos tópicos listados na etapa anterior.

   No exemplo, utilizamos o seguinte tópico user

   $ ipa help user

4. Se o comando de ajuda IPA for muito longo e você não puder ver o texto inteiro, use a seguinte sintaxe:

   $ ipa help user | less

   Você pode então rolar para baixo e ler toda a ajuda.

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Digite ipa help commands para exibir uma lista de comandos cobertos pela ajuda.

   $ ipa help commands

3. Selecione um dos comandos e crie um comando de ajuda de acordo com o seguinte padrão: ipa help <COMMAND>, em vez da string <COMMAND>, adicione um dos comandos listados no passo anterior.

   $ ipa help user-add

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Digite o comando para adicionar um novo usuário:

   $ ipa user-add

   O comando executa um script onde você pode adicionar dados básicos necessários para a criação de uma conta de usuário.

3. No campo First name:, digite o primeiro nome do novo usuário e pressione a tecla Enter.
4. No campo Last name:, digite o sobrenome do novo usuário e pressione a tecla Enter.

5. No site User login [suggested user name]: digite o nome do usuário ou simplesmente pressione a tecla Enter se o nome de usuário sugerido funcionar para você.

   O nome do usuário deve ser único para todo o banco de dados da IdM. Se ocorrer um erro, de que o usuário já existe, você precisa começar do início com o comando ipa user-add e tentar um nome de usuário diferente.

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Digite o comando para adicionar uma senha:

   $ ipa user-mod euser --password

   O comando executa um script onde você pode adicionar a nova senha.

3. Digite a nova senha e pressione a tecla Enter.

Procedimento

1. Digite um URL de servidor IdM na barra de endereços do navegador. O nome será semelhante ao exemplo a seguir:

   https://server.example.com

   Você só precisa alterar server.example.com com um nome DNS de seu servidor IdM.

   Isto abre a tela de login da IDM Web UI em seu navegador.

   

   • Se o servidor não responder ou a tela de login não abrir, verifique as configurações do DNS no servidor IdM ao qual você está se conectando.

   • Se você usar um certificado autoassinado, o navegador emite um aviso. Verifique o certificado e aceite a exceção de segurança para proceder com o login.

     Para evitar exceções de segurança, instale um certificado assinado por uma autoridade certificadora.

2. Na tela de login da Web UI, digite as credenciais de conta de administrador que você adicionou durante a instalação do servidor IdM.

   Para detalhes, consulte Instalação de um servidor de Gerenciamento de Identidade: Com DNS integrado, com uma CA integrada.

   Você pode inserir suas credenciais de conta pessoal também se elas já estiverem inseridas no servidor da IdM.

   

3. Clique em Log in.

Procedimento

1. Para fazer login na IdM

   • sob o nome do usuário que está atualmente logado no sistema local, use kinit sem especificar um nome de usuário. Por exemplo, se você estiver logado como example_user no sistema local:

     [example_user@server ~]$ kinit
     Password for example_user@EXAMPLE.COM:
     [example_user@server ~]$

     Se o nome do usuário local não corresponder a nenhuma entrada de usuário no IdM, a tentativa de autenticação falha:

     [example_user@server ~]$ kinit
     kinit: Client 'example_user@EXAMPLE.COM' not found in Kerberos database while getting initial credentials

   • usando um Kerberos principal que não corresponde ao seu nome de usuário local, passe o nome de usuário requerido para o utilitário kinit. Por exemplo, para fazer o login como usuário admin:

     [example_user@server ~]$ kinit admin
     Password for admin@EXAMPLE.COM:
     [example_user@server ~]$

2. Opcionalmente, para verificar se o login foi bem sucedido, use o utilitário klist para exibir o TGT em cache. No exemplo a seguir, o cache contém um ticket para o principal example_user, o que significa que neste host em particular, apenas example_user está atualmente autorizado a acessar os serviços da IdM:

   $ klist
   Ticket cache: KEYRING:persistent:0:0
   Default principal: example_user@EXAMPLE.COM
   
   Valid starting     	Expires            	Service principal
   11/10/2019 08:35:45  	11/10/2019 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM

Procedimento

1. Abra o diálogo de login da IDM Web UI em seu navegador da web.

2. Clique no link para configuração do navegador na tela de login da Web UI.

   

3. Siga os passos na página de configuração.

   

Procedimento

1. Copie o arquivo /etc/krb5.conf do servidor da IdM para o sistema externo. Por exemplo:

   # scp /etc/krb5.conf root@externalsystem.example.com:/etc/krb5_ipa.conf

   Atenção

   Não sobrescreva o arquivo krb5.conf existente no sistema externo.

2. No sistema externo, configure a sessão terminal para usar o arquivo de configuração copiado da IdM Kerberos:

   $ export KRB5_CONFIG=/etc/krb5_ipa.conf

   A variável KRB5_CONFIG existe apenas temporariamente até que você termine a sessão. Para evitar esta perda, exporte a variável com um nome de arquivo diferente.

3. Copie os trechos de configuração Kerberos do diretório /etc/krb5.conf.d/ para o sistema externo.
4. Configure o navegador no sistema externo, conforme descrito em Seção 6.3, “Configurando o navegador para autenticação Kerberos”.

Procedimento

1. Entre na IDM Web UI com seu nome de usuário e senha.

2. Abra a aba Identity → Users → Active users.

   

3. Clique em seu nome de usuário para abrir as configurações do usuário.
4. No site User authentication types, selecione Two factor authentication (password OTP).
5. Clique em Save.

Procedimento

1. Entre na IDM Web UI com seu nome de usuário e senha.
2. Para criar a ficha em seu telefone celular, abra a aba Authentication → OTP Tokens.

3. Clique em Add.

   

4. Na caixa de diálogo Add OTP token, deixe tudo por preencher e clique em Add.

   Nesta etapa, o servidor IdM cria um token com parâmetros padrão no servidor e abre uma página com um código QR.

5. Copie o código QR em seu telefone celular.
6. Clique em OK para fechar o código QR.

Procedimento

1. Na tela de login do Gerenciamento de Identidade, digite seu nome de usuário ou um nome de usuário da conta do administrador do servidor IdM.
2. Adicione a senha para o nome de usuário digitado acima.
3. Gerar uma senha única em seu dispositivo.
4. Digite a senha única logo após a senha (sem espaço).

5. Clique em Log in.

   Se a autenticação falhar, sincronize os tokens OTP.

   Se sua AC usa um certificado autoassinado, o navegador emite um aviso. Verifique o certificado e aceite a exceção de segurança para proceder com o login.

   Se a IDM Web UI não abrir, verifique a configuração do DNS de seu servidor de Gerenciamento de Identidade.

Procedimento

1. Na tela de login da IDM Web UI, clique em Sync OTP Token.

   

2. Na tela de login, digite seu nome de usuário e a senha de Gerenciamento de Identidade.
3. Gerar uma senha única e inseri-la no campo First OTP.
4. Gerar outra senha de uma vez e inseri-la no campo Second OTP.

5. Opcionalmente, digite a identificação simbólica.

   

6. Clique em Sync OTP Token.

Procedimento

1. Na tela de login de expiração da senha, digite o nome do usuário.
2. Adicione a senha para o nome de usuário digitado acima.

3. No campo OTP, gere uma senha única, se você usar a autenticação da senha única.

   Se você não tiver ativado a autenticação OTP, deixe o campo vazio.

4. Digite a nova senha duas vezes para verificação.

5. Clique em Reset Password.

   

Procedimento

1. Crie um arquivo de inventário, por exemplo inventory.file, e defina o servidor IdM a partir do qual você deseja recuperar a configuração do IdM na seção [ipaserver]. Por exemplo, para instruir a Ansible para recuperar os dados de server.idm.example.com, entre:

   [ipaserver]
   server.idm.example.com

2. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml Um possível arquivo de playbook para edição:

   ---
   - name: Playbook to handle global IdM configuration
     hosts: ipaserver
     become: no
     gather_facts: no
   
     tasks:
     - name: Query IPA global configuration
       ipaconfig:
         ipaadmin_password: Secret123
       register: serverconfig
   
     - debug:
         msg: "{{ serverconfig }}"

3. Adapte o arquivo alterando o seguinte:

   • A senha do administrador da IdM.
   • Outros valores, se necessário.
4. Salvar o arquivo.

5. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml
   [...]
   TASK [debug]
   ok: [server.idm.example.com] => {
       "msg": {
           "ansible_facts": {
               "discovered_interpreter_
           },
           "changed": false,
           "config": {
               "ca_renewal_master_server": "server.idm.example.com",
               "configstring": [
                   "AllowNThash",
                   "KDC:Disable Last Success"
               ],
               "defaultgroup": "ipausers",
               "defaultshell": "/bin/bash",
               "emaildomain": "idm.example.com",
               "enable_migration": false,
               "groupsearch": [
                   "cn",
                   "description"
               ],
               "homedirectory": "/home",
               "maxhostname": "64",
               "maxusername": "64",
               "pac_type": [
                   "MS-PAC",
                   "nfs:NONE"
               ],
               "pwdexpnotify": "4",
               "searchrecordslimit": "100",
               "searchtimelimit": "2",
               "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023",
               "selinuxusermaporder": [
                   "guest_u:s0$xguest_u:s0$user_
               ],
               "usersearch": [
                   "uid",
                   "givenname",
                   "sn",
                   "telephonenumber",
                   "ou",
                   "title"
               ]
           },
           "failed": false
       }
   }

Procedimento

1. Opcional: Identificar o atual mestre de renovação da IdM CA:

   $ ipa config-show | grep 'CA renewal master'
     IPA CA renewal master: server.idm.example.com

2. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

3. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml Um possível arquivo de playbook para edição:

   ---
   - name: Playbook to handle global DNS configuration
     hosts: ipaserver
     become: no
     gather_facts: no
   
     tasks:
     - name: set ca_renewal_master_server
       ipaconfig:
         ipaadmin_password: SomeADMINpassword
         ca_renewal_master_server: carenewal.idm.example.com

4. Adaptar o arquivo através de alterações:

   • A senha do administrador da IdM definida pela variável ipaadmin_password.
   • O nome do servidor principal da CA definido pela variável ca_renewal_master_server.
5. Salvar o arquivo.

6. Execute o livro de jogo Ansible playbook. Especifique o arquivo do playbook e o arquivo do inventário:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

1. Acesse ipaserver como administrador da IdM:

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Solicitar a identidade do servidor principal do IdM CA:

   $ ipa config-show | grep ‘CA renewal master’
   IPA CA renewal master:  carenewal.idm.example.com

   A saída mostra que o servidor carenewal.idm.example.com é o novo mestre da renovação da CA.

Procedimento

1. Opcional: Use o retrieve-config.yml Livro de jogo possível para identificar a concha atual para usuários da IdM. Consulte Recuperar a configuração do IdM usando um livro de reprodução possível para obter detalhes.

2. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

3. Abrir o arquivo /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml Um possível arquivo de playbook para edição:

   ---
   - name: Playbook to ensure some config options are set
     hosts: ipaserver
     become: true
   
     tasks:
     # Set defaultlogin and maxusername
     - ipaconfig:
         ipaadmin_password: Secret123
         defaultshell: /bin/bash
         maxusername: 64

4. Adapte o arquivo alterando o seguinte:

   • A senha do administrador da IdM definida pela variável ipaadmin_password.
   • O shell padrão dos usuários do IdM definido pela variável defaultshell em /bin/sh.
5. Salvar o arquivo.

6. Execute o livro de jogo Ansible playbook. Especifique o arquivo do playbook e o arquivo do inventário:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml

1. Acesse ipaserver como administrador da IdM:

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Mostrar a concha atual:

   [admin@server /]$ echo "$SHELL"
   /bin/sh

   O usuário logado está usando a concha sh.

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Adicione login de usuário, nome do usuário, sobrenome e, opcionalmente, você também pode adicionar seu endereço de e-mail.

   $ ipa user-add user_login --first=first_name --last=last_name --email=email_address

   IdM suporta nomes de usuários que podem ser descritos através da seguinte expressão regular:

   [a-zA-Z0-9_.][a-zA-Z0-9_.-]{0,252}[a-zA-Z0-9_.$-]?

   Nota

   Os nomes dos usuários que terminam com o sinal de dólar móvel ($) são suportados para permitir o suporte da máquina Samba 3.x.

   Se você adicionar um nome de usuário contendo caracteres maiúsculos, o IdM converte automaticamente o nome em minúsculas ao salvá-lo. Portanto, o IdM sempre requer a inserção de nomes de usuário em letras minúsculas ao fazer o login. Além disso, não é possível adicionar nomes de usuário que diferem apenas em letras maiúsculas, como user e User.

   O comprimento máximo padrão para os nomes de usuário é de 32 caracteres. Para alterá-lo, use o comando ipa config-mod --maxusername. Por exemplo, para aumentar o comprimento máximo do nome do usuário para 64 caracteres:

   $ ipa config-mod --maxusername=64
    Maximum username length: 64
    ...

   O comando ipa user-add inclui uma série de parâmetros. Para listar todos eles, use o comando ipa help:

   $ ipa help user-add

   Para detalhes sobre o comando ipa help, veja Qual é a ajuda do IPA.

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Ativar a conta de usuário com o seguinte comando:

   $ ipa stageuser-activate user_login
   -------------------------
   Stage user user_login activated
   -------------------------
   ...

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Preservar a conta do usuário com o seguinte comando:

   $ ipa user-del --preserve user_login
   --------------------
   Deleted user "user_login"
   --------------------

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Eliminar a conta de usuário com o seguinte comando:

   $ ipa user-del user_login
   --------------------
   Deleted user "user_login"
   --------------------

Procedimento

1. Abra o terminal e conecte-se ao servidor IdM.

2. Ativar a conta de usuário com o seguinte comando:

   $ ipa user-undel user_login
   ------------------------------
   Undeleted user account "user_login"
   ------------------------------

   Alternativamente, você pode restaurar as contas dos usuários como encenadas:

   $ ipa user-stage user_login
   ------------------------------
   Staged user account "user_login"
   ------------------------------

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Stage Users.

   Alternativamente, você pode adicionar a conta de usuário no Users → Active users, entretanto, não é possível adicionar grupos de usuários à conta.

3. Clique no ícone Add.
4. Na caixa de diálogo Add stage user, digite First name e Last name do novo usuário.

5. [Opcional] No campo User login, adicione um nome de login.

   Se você deixá-lo vazio, o servidor IdM cria o nome de login no seguinte padrão: A primeira letra do primeiro nome e o sobrenome. O nome de login completo pode ter até 32 caracteres.

6. [Opcional] No menu suspenso GID, selecione os grupos nos quais o usuário deve ser incluído.
7. [Opcional] Nos campos Password e Verify password,

8. Clique no botão Add.

   

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Stage users.
3. Clique na caixa de seleção da conta de usuário que você deseja ativar.

4. Clique no botão Activate.

   

5. Na caixa de diálogo Confirmation, clique no botão OK.

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Active users.
3. Clique na caixa de seleção das contas de usuário que você deseja desativar.

4. Clique no botão Disable.

   

5. Na caixa de diálogo Confirmation, clique no botão OK.

Procedimento

1. Faça o login na IDM Web UI.
2. Vá para a guia Users → Active users.
3. Clique na caixa de seleção das contas de usuário que você deseja habilitar.

4. Clique no botão Enable.

   

5. Na caixa de diálogo Confirmation, clique no botão OK.

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Active users.
3. Clique na caixa de seleção das contas de usuário que você deseja preservar.

4. Clique no botão Delete.

   

5. Na caixa de diálogo Remove users, mude o botão de rádio Delete mode para preserve.

6. Clique no botão Delete.

   

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Preserved users.
3. Clique na caixa de seleção nas contas de usuário que você deseja restaurar.

4. Clique no botão Restore.

   

5. Na caixa de diálogo Confirmation, clique no botão OK.

Procedimento

1. Faça o login na IDM Web UI.

   Para obter detalhes, consulte Acessando a IDM Web UI em um navegador da web.

2. Vá para a guia Users → Active users.

   Alternativamente, você pode excluir a conta do usuário no site Users → Stage users ou Users → Preserved users.

3. Clique no ícone Delete.
4. Na caixa de diálogo Remove users, mude o botão de rádio Delete mode para delete.
5. Clique no botão Delete.

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook possível com os dados do usuário cuja presença na IdM você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml. Por exemplo, para criar um usuário chamado idm_user e adicionar Password123 como senha do usuário:

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Create user idm_user
       ipauser:
         ipaadmin_password: MySecret123
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   Você deve usar as seguintes opções para adicionar um usuário:

   • name: o nome de login
   • first: a cadeia de nome próprio
   • last: a cadeia de sobrenomes

   Para a lista completa das opções de usuário disponíveis, consulte o arquivo /usr/share/doc/ansible-freeipa/README-user.md Markdown.

   Nota

   Se você usar a opção update_password: on_create, Ansible só cria a senha do usuário quando ele cria o usuário. Se o usuário já estiver criado com uma senha, o Ansible não gera uma nova senha.

3. Execute o livro de brincadeiras:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook possível com os dados dos usuários cuja presença você quer garantir na IdM. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Por exemplo, para criar usuários idm_user_1, idm_user_2, e idm_user_3, e adicionar Password123 como senha de idm_user_1:

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Create user idm_users
       ipauser:
         ipaadmin_password: MySecret123
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   Nota

   Se você não especificar a opção update_password: on_create, Ansible redefine a senha do usuário toda vez que o playbook é executado: se o usuário mudou a senha desde a última vez que o playbook foi executado, Ansible redefine a senha.

3. Execute o livro de brincadeiras:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook possível com as tarefas necessárias. Consulte o arquivo JSON com os dados dos usuários cuja presença você deseja garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml:

   ---
   - name: Ensure users' presence
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Include users.json
       include_vars:
         file: users.json
   
     - name: Users present
       ipauser:
         ipaadmin_password: MySecret123
         users: "{{ users }}"

3. Crie o arquivo users.json, e adicione os usuários do IdM a ele. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/users.json. Por exemplo, para criar usuários idm_user_1, idm_user_2, e idm_user_3, e adicionar Password123 como senha de idm_user_1:

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "Alice",
       "last": "Acme",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "Bob",
       "last": "Acme"
      },
      {
       "name": "idm_user_3",
       "first": "Eve",
       "last": "Acme"
      }
     ]
   }

4. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook possível com os usuários cuja ausência da IdM você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Por exemplo, para excluir usuários idm_user_1, idm_user_2, e idm_user_3:

   ---
   - name: Playbook to handle users
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       ipauser:
         ipaadmin_password: MySecret123
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

3. Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

1. Acesse ipaserver como administrador:

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

2. Solicite informações sobre idm_user_1:

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   O usuário chamado idm_user_1 não existe na IdM.

Procedimento

1. Optional. Use o comando ipa group-show para confirmar que o grupo inclui o membro que você deseja remover.

2. Remover um membro de um grupo de usuários usando o comando ipa group-remove-member.

   Especifique os membros a serem removidos usando estas opções:

   • --users remove um usuário de IdM
   • --external remove um usuário que existe fora do domínio IdM, no formato de DOMAIN\user_name ou user_name@domain
   • --groups remove um grupo de usuários da IdM

   Por exemplo, para remover user1, user2, e group1 de um grupo chamado group_name:

   $ ipa group-remove-member group_name --users=user1 --users=user2 --groups=group1

Procedimento

1. Clique em Identity → Groups, e selecione User Groups na barra lateral esquerda.
2. Clique em Add para começar a adicionar o grupo.

3. Preencha as informações sobre o grupo. Para mais informações sobre os tipos de grupos de usuários, consulte Os diferentes tipos de grupos na IdM.

   Você pode especificar um GID personalizado para o grupo. Se você fizer isso, tenha cuidado para evitar conflitos de ID. Se você não especificar um GID personalizado, o IdM atribui automaticamente um GID a partir da faixa de ID disponível.

   
4. Clique em Add para confirmar.

Procedimento

1. Clique em Identity → Groups e selecione User Groups.
2. Selecione o grupo a ser excluído.
3. Clique em Delete.
4. Clique em Delete para confirmar.

Procedimento

1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
2. Clique no nome do grupo.

3. Selecione o tipo de membro do grupo que você deseja adicionar: Users, User Groups, ou External.

   
4. Clique em Add.
5. Selecione a caixa de seleção ao lado de um ou mais membros que você deseja adicionar.

6. Clique na seta para a direita para mover os membros selecionados para o grupo.

   
7. Clique em Add para confirmar.

Procedimento

1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
2. Clique no nome do grupo.

3. Selecione o tipo de gerente do grupo que você deseja adicionar: Users ou User Groups.

   
4. Clique em Add.
5. Selecione a caixa de seleção ao lado de um ou mais membros que você deseja adicionar.

6. Clique na seta para a direita para mover os membros selecionados para o grupo.

   
7. Clique em Add para confirmar.

Procedimento

1. Selecione Identity → Groups.
2. Selecione User Groups na barra lateral esquerda.
3. Clique no nome do grupo que você deseja visualizar.

4. Alternar entre Direct Membership e Indirect Membership.

   

Procedimento

1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
2. Clique no nome do grupo.

3. Selecione o tipo de membro do grupo que você deseja remover: Users, User Groups, ou External.

   
4. Selecione a caixa de seleção ao lado do membro que você deseja remover.
5. Clique em Delete.
6. Clique em Delete para confirmar.

Procedimento

1. Clique em Identity → Groups e selecione User Groups na barra lateral esquerda.
2. Clique no nome do grupo.

3. Selecione o tipo de gerente membro que você deseja remover: Users ou User Groups.

   
4. Selecione a caixa de seleção ao lado do gerente membro que você deseja remover.
5. Clique em Delete.
6. Clique em Delete para confirmar.

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook possível com as informações necessárias de usuário e grupo:

   ---
   - name: Playbook to handle groups
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Create group ops with gid 1234
       ipagroup:
         ipaadmin_password: MySecret123
         name: ops
         gidnumber: 1234
   
     - name: Create group sysops
       ipagroup:
         ipaadmin_password: MySecret123
         name: sysops
         user:
         - idm_user
   
     - name: Create group appops
       ipagroup:
         ipaadmin_password: MySecret123
         name: appops
   
     - name: Add group members sysops and appops to group ops
       ipagroup:
         ipaadmin_password: MySecret123
         name: ops
         group:
         - sysops
         - appops

3. Execute o livro de brincadeiras:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

1. Acesse ipaserver como administrador:

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Mostrar informações sobre ops:

   ipaserver]$ ipa group-show ops
     Group name: ops
     GID: 1234
     Member groups: sysops, appops
     Indirect Member users: idm_user

   Os grupos appops e sysops - este último incluindo o usuário idm_user - existem na IdM.

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook com as informações necessárias de gerenciamento de usuários e membros do grupo:

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Ensure user test is present for group_a
       ipagroup:
         ipaadmin_password: MySecret123
         name: group_a
         membermanager_user: test
   
     - name: Ensure group_admins is present for group_a
       ipagroup:
         ipaadmin_password: MySecret123
         name: group_a
         membermanager_group: group_admins

3. Execute o livro de brincadeiras:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml

1. Acesse ipaserver como administrador:

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Mostrar informações sobre managergroup1:

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009
     Membership managed by groups: group_admins
     Membership managed by users: test

Procedimento

1. Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:

   [ipaserver]
   server.idm.example.com

2. Crie um arquivo de playbook com as informações necessárias de gerenciamento de usuários e membros do grupo:

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
     become: true
   
     tasks:
     - name: Ensure member manager user and group members are absent for group_a
       ipagroup:
         ipaadmin_password: MySecret123
         name: group_a
         membermanager_user: test
         membermanager_group: group_admins
         action: member
         state: absent

3. Execute o livro de brincadeiras:

   $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml

1. Acesse ipaserver como administrador:

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Exibir informações sobre o grupo_a:

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009

Procedimento

1. Digite o comando ipa automember-add para adicionar uma regra de membro automático.

2. Quando solicitado, especifique:

   • Automember rule. Este é o nome do grupo alvo.
   • Grouping Type. Isto especifica se a regra tem como alvo um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.

   Por exemplo, para adicionar uma regra de membro automático para um grupo de usuários chamado user_group:

   $ ipa automember-add
   Automember Rule: user_group
   Grouping Type: group
   --------------------------------
   Added automember rule "user_group"
   --------------------------------
       Automember Rule: user_group

Procedimento

1. Definir uma ou mais condições inclusivas ou exclusivas usando o comando ipa automember-add-condition.

2. Quando solicitado, especifique:

   • Automember rule. Este é o nome da regra alvo. Veja as regras do Automember para detalhes.
   • Attribute Key. Isto especifica o atributo de entrada ao qual o filtro será aplicado. Por exemplo, uid para usuários.
   • Grouping Type. Isto especifica se a regra tem como alvo um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.
   • Inclusive regex e Exclusive regex. Estes especificam uma ou mais condições como expressões regulares. Se você quiser especificar apenas uma condição, pressione Enter quando solicitado pela outra.

   Por exemplo, a seguinte condição visa todos os usuários com qualquer valor (.*) em seu atributo de login de usuário (uid).

   $ ipa automember-add-condition
   Automember Rule: user_group
   Attribute Key: uid
   Grouping Type: group
   [Inclusive Regex]: .*
   [Exclusive Regex]:
   ----------------------------------
   Added condition(s) to "user_group"
   ----------------------------------
     Automember Rule: user_group
     Inclusive Regex: uid=.*
   ----------------------------
   Number of conditions added 1
   ----------------------------

   Como outro exemplo, você pode usar uma regra de associação automática para atingir todos os usuários Windows sincronizados a partir do Active Directory (AD). Para conseguir isso, crie uma condição que vise todos os usuários com ntUser em seu atributo objectClass, que é compartilhado por todos os usuários do AD:

   $ ipa automember-add-condition
   Automember Rule: ad_users
   Attribute Key: objectclass
   Grouping Type: group
   [Inclusive Regex]: ntUser
   [Exclusive Regex]:
   -------------------------------------
   Added condition(s) to "ad_users"
   -------------------------------------
     Automember Rule: ad_users
     Inclusive Regex: objectclass=ntUser
   ----------------------------
   Number of conditions added 1
   ----------------------------

Procedimento

1. Digite o comando ipa automember-find.

2. Quando solicitado, especifique o endereço Grouping type:

   • Para visar um grupo de usuários, digite group.

   • Para visar um grupo anfitrião, digite hostgroup.

     Por exemplo:

   $ ipa automember-find
   Grouping Type: group
   ---------------
   1 rules matched
   ---------------
     Automember Rule: user_group
     Inclusive Regex: uid=.*
   ----------------------------
   Number of entries returned 1
   ----------------------------

Procedimento

1. Digite o comando ipa automember-del.

2. Quando solicitado, especifique:

   • Automember rule. Esta é a regra que você quer eliminar.
   • Grouping rule. Isto especifica se a regra que você deseja excluir é para um grupo de usuários ou para um grupo anfitrião. Digite group ou hostgroup.

Procedimento

1. Digite o comando ipa automember-remove-condition.

2. Quando solicitado, especifique:

   • Automember rule. Este é o nome da regra da qual você quer remover uma condição.
   • Attribute Key. Este é o atributo de entrada de destino. Por exemplo, uid para usuários.
   • Grouping Type. Isto especifica se a condição que você deseja excluir é para um grupo de usuários ou para um grupo anfitrião. Digite group ou hostgroup.

   • Inclusive regex e Exclusive regex. Estes especificam as condições que você deseja remover. Se você quiser especificar apenas uma condição, pressione Enter quando solicitado pela outra.

     Por exemplo:

   $ ipa automember-remove-condition
   Automember Rule: user_group
   Attribute Key: uid
   Grouping Type: group
   [Inclusive Regex]: .*
   [Exclusive Regex]:
   -----------------------------------
   Removed condition(s) from "user_group"
   -----------------------------------
     Automember Rule: user_group
   ------------------------------
   Number of conditions removed 1
   ------------------------------

Procedimento

1. Digite o comando ipa automember-default-group-set para configurar um grupo de membros automáticos padrão.

2. Quando solicitado, especifique:

   • Default (fallback) Group, que especifica o nome do grupo-alvo.

   • Grouping Type, que especifica se o alvo é um grupo de usuários ou um grupo anfitrião. Para visar um grupo de usuários, digite group. Para visar um grupo de usuários, digite hostgroup.

     Por exemplo:

     $ ipa automember-default-group-set
     Default (fallback) Group: default_user_group
     Grouping Type: group
     ---------------------------------------------------
     Set default (fallback) group for automember "default_user_group"
     ---------------------------------------------------
       Default (fallback) Group: cn=default_user_group,cn=groups,cn=accounts,dc=example,dc=com

   Nota

   Para remover o grupo de membros automáticos padrão atual, digite o comando ipa automember-default-group-remove.

Procedimento

1. Clique Identity → Automember, e selecione User group rules ou Host group rules.
2. Clique em Add.

3. No campo Automember rule, selecione o grupo ao qual a regra será aplicada. Este é o nome do grupo-alvo.

   
4. Clique em Add para confirmar.
5. Opcional: Você pode adicionar condições à nova regra usando o procedimento descrito em Adicionar uma condição a uma regra de membro automático usando IdM Web UI.

Procedimento

1. Clique Identity → Automember, e selecione User group rules ou Host group rules.
2. Clique na regra à qual você deseja acrescentar uma condição.

3. Nas seções Inclusive ou Exclusive, clique em Adicionar.

   
4. No campo Attribute, selecione o atributo desejado, por exemplo uid.
5. No campo Expression, defina uma expressão regular.

6. Clique em Add.

   Por exemplo, a seguinte condição visa todos os usuários com qualquer valor (.*) em seu atributo ID de usuário (uid).

   

Procedimento

1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.

2. Opcional: Clique em uma regra para ver as condições para essa regra nas seções Inclusive ou Exclusive.

   

Procedimento

1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.
2. Selecione a caixa de seleção ao lado da regra que você deseja remover.

3. Clique em Delete.

   
4. Clique em Delete para confirmar.

Procedimento

1. Clique em Identity → Automember, e selecione User group rules ou Host group rules para visualizar as respectivas regras de membros automáticos.
2. Clique em uma regra para ver as condições para essa regra nas seções Inclusive ou Exclusive.
3. Selecione a caixa de seleção ao lado das condições que você deseja remover.

4. Clique em Delete.

   
5. Clique em Delete para confirmar.

Procedimento

1. Clique em Identity → Automember, e selecione User group rules.

2. No campo Default user group, selecione o grupo que você deseja definir como o grupo de usuário padrão.

   

Procedimento

1. Clique em Identity → Automember, e selecione Host group rules.

2. No campo Default host group, selecione o grupo que você deseja definir como o grupo anfitrião padrão.

   

Procedimento

1. Optional: Exibir as regras de auto-atendimento existentes com o comando ipa selfservice-find.
2. Optional: Mostrar detalhes da regra de autoatendimento que você deseja modificar com o comando ipa selfservice-show.
3. Use o comando ipa selfservice-mod para editar uma regra de auto-atendimento.

Procedimento

1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.

2. Clique em Add na parte superior direita da lista das regras de acesso de auto-atendimento:

   

3. A janela Add Self Service Permission se abre. Digite o nome da nova regra de auto-atendimento no campo Self-service name. Os espaços são permitidos:

   

4. Selecione as caixas de seleção ao lado dos atributos que você deseja que os usuários sejam capazes de editar.

5. Optional: Se um atributo ao qual você gostaria de fornecer acesso não estiver listado, você pode adicionar uma listagem para ele:

   1. Clique no botão Add.
   2. Digite o nome do atributo no campo de texto Attribute da seguinte janela Add Custom Attribute.
   3. Clique no botão OK para adicionar o atributo
   4. Verificar se o novo atributo está selecionado
6. Clique no botão Add na parte inferior do formulário para salvar a nova regra de auto-serviço.
   Alternativamente, você pode salvar e continuar editando a regra de autoatendimento clicando no botão Add and Edit, ou salvar e adicionar outras regras clicando no botão Add and Add another.

Procedimento

1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.

2. Clique no nome da regra de auto-atendimento que você deseja modificar.

   

3. A página de edição só permite editar a lista de atributos que você deseja adicionar ou remover à regra de auto-atendimento. Selecione ou desmarque as caixas de seleção apropriadas.
4. Clique no botão Save para salvar suas mudanças na regra de auto-atendimento.

Procedimento

1. Abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Self Service Permissions.

2. Selecione a caixa de seleção ao lado da regra que você deseja excluir, depois clique no botão Delete, à direita da lista.

   

3. Um diálogo se abre, clique em Delete para confirmar.

Procedimento

1. A partir do menu IPA Server, clique Role-Based Access Control → Delegations.

2. Clique em Add.

   

3. Na janela Add delegation, faça o seguinte:

   1. Nomear a nova regra da delegação.
   2. Defina as permissões selecionando as caixas de seleção que indicam se os usuários terão o direito de visualizar os atributos dados (read) e adicionar ou alterar os atributos dados (write).
   3. No menu suspenso Grupo de usuários, selecione o grupo who is being granted permissions para visualizar ou editar as entradas dos usuários no grupo de membros.
   4. No menu suspenso Member user group, selecione o grupo whose entries can be edited pelos membros do grupo da delegação.

   5. Na caixa de atributos, selecione as caixas de seleção pelos atributos para os quais você deseja conceder permissões.

      
   6. Clique no botão Add para salvar a nova regra da delegação.

Procedimento

1. A partir do menu IPA Server, clique Role-Based Access Control → Delegations.

   

Procedimento

1. A partir do menu IPA Server, clique Role-Based Access Control → Delegations.

   
2. Clique sobre a regra que você deseja modificar.

3. Fazer as mudanças desejadas:

   • Mude o nome da regra.
   • Alterar as permissões concedidas selecionando as caixas de seleção que indicam se os usuários terão o direito de visualizar os atributos dados (read) e adicionar ou alterar os atributos dados (write).
   • No menu suspenso Grupo de usuários, selecione o grupo who is being granted permissions para visualizar ou editar as entradas dos usuários no grupo de membros.
   • No menu suspenso Member user group, selecione o grupo whose entries can be edited pelos membros do grupo da delegação.

   • Na caixa de atributos, selecione as caixas de seleção pelos atributos para os quais você deseja conceder permissões. Para remover permissões a um atributo, desmarque a caixa de seleção relevante.

     
   • Clique no botão Save para salvar as mudanças.

Procedimento

1. A partir do menu IPA Server, clique Role-Based Access Control → Delegations.
2. Selecione a caixa de seleção ao lado da regra que você deseja remover.

3. Clique em Delete.

   
4. Clique em Delete para confirmar.

Procedimento

1. Criar novas entradas de permissão com o comando ipa permission-add.
   Por exemplo, para adicionar uma permissão chamada dns admin:

   $ ipa permission-add "dns admin

2. Especifique as propriedades da permissão com as seguintes opções
   

   • --bindtype especifica o tipo de regra de vinculação. Esta opção aceita os argumentos all, anonymous, e permission. O tipo de vinculação permission significa que somente os usuários a quem é concedida esta permissão através de uma função podem exercê-la.
     Por exemplo, o tipo de vinculação:

     $ ipa permission-add {\i1}"dns admin\i} --bindtype=all

     Se você não especificar --bindtype, então permission é o valor padrão.

     Nota

     Não é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.

   • --right lista os direitos concedidos pela permissão, ela substitui a opção depreciada --permissions. Os valores disponíveis são add, delete, read, search, compare, write, all.

     Você pode definir vários atributos usando várias opções do --right ou com uma lista separada por vírgula dentro de chaves de caracóis. Por exemplo:

     $ ipa permission-add {\i}"dns admin\i} --right=read --right=write

     $ ipa permission-add "dns admin" --right={read,write}

     Nota

     add e delete são operações de nível básico (por exemplo, excluir um usuário, adicionar um grupo, etc.) enquanto read, search, compare e write são mais de nível de atributo: você pode escrever para userCertificate mas não ler userPassword.

   • --attrs fornece a lista de atributos sobre os quais a permissão é concedida.
     Você pode definir múltiplos atributos usando múltiplas opções --attrs ou listando as opções em uma lista separada por vírgula dentro de chaves de caracóis. Por exemplo:

     $ ipa permission-add {\i1}"dns admin\i} --attrs=descrição --attrs=automountKey

     $ ipa permission-add "dns admin" --attrs={descrição,automountKey}

     Os atributos fornecidos com --attrs devem existir e ser atributos permitidos para o tipo de objeto em questão, caso contrário o comando falha com erros de sintaxe do esquema.

   • --type define o tipo de objeto de entrada ao qual a permissão se aplica, como usuário, host, ou serviço. Cada tipo tem seu próprio conjunto de atributos permitidos.
     Por exemplo, o tipo de objeto de entrada:

     $ ipa permission-add {\i1}"manage service}" --right=all --type=service --attrs=krbprincipalkey --attrs=krbprincipalname --attrs=managedby

   • --subtree dá uma entrada de sub-árvore; o filtro então visa cada entrada abaixo desta entrada de sub-árvore. Fornecer uma entrada de subárvore existente; --subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Inclua um DN dentro do diretório.
     Como o IdM usa uma estrutura de árvore de diretório simplificada e plana, --subtree pode ser usado para direcionar alguns tipos de entradas, como locais de montagem automática, que são containers ou entradas pai para outras configurações. Por exemplo:

     $ ipa permission-add "manage automount locations" --subtree="ldap://ldap.example.com:389/cn=automount,dc=example,dc=com --right=write --attrs=automountmapname --attrs=automountkey --attrs=automountInformation

     Nota

     As opções --type e --subtree são mutuamente exclusivas: você pode ver a inclusão de filtros para --type como uma simplificação de --subtree, com a intenção de tornar a vida mais fácil para um administrador.

   • --filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica.
     O IdM verifica automaticamente a validade do filtro dado. O filtro pode ser qualquer filtro LDAP válido, por exemplo:

     $ ipa permission-add "gerenciar grupos Windows" --filter="(!(objectclass=posixgroup)){\i1}" --right=write --attrs=descrição

   • --memberof define o filtro alvo para os membros de um determinado grupo após verificar se o grupo existe. Por exemplo, para permitir que os usuários com esta permissão modifiquem a casca de login dos membros do grupo de engenheiros:

     $ ipa permission-add ManageShell --right="write" --type=user --attr=loginshell --memberof=engineers

   • --targetgroup estabelece a meta para o grupo de usuários especificado após verificar se o grupo existe. Por exemplo, deixar aqueles com a permissão escrever o atributo de membro no grupo de engenheiros (para que eles possam adicionar ou remover membros):

     $ ipa permission-add ManageMembers --right="write" --subtree=cn=groups,cn=accounts,dc=example,dc=test --attr=member --targetgroup=engineers

   • Opcionalmente, você pode especificar um nome de domínio de destino (DN)
     

     • --target especifica o DN a quem aplicar a permissão. Wildcards são aceitos.
     • --targetto especifica a sub-árvore DN para a qual uma entrada pode ser movida.
     • --targetfrom especifica a sub-árvore DN de onde uma entrada pode ser movida.

Procedimento

1. Adicionar entradas de privilégio usando o comando ipa privilege-add
   Por exemplo, para adicionar um privilégio chamado managing filesystems com uma descrição:

   $ ipa privilege-add "gerenciando sistemas de arquivos" --desc="para sistemas de arquivos"

2. Atribuir as permissões necessárias ao grupo de privilégios com o comando privilege-add-permission
   Por exemplo, para adicionar as permissões denominadas managing automount e managing ftp services ao privilégio managing filesystems:

   $ ipa privilegio-add-permission {\i1}"gerenciar sistemas de arquivos" --permissões="gerenciar montagem automática" --permissões="gerenciar serviços ftp"

Procedimento

1. Acrescentar novas entradas de funções usando o comando ipa role-add:

   $ ipa role-add --desc="User Administrator" useradmin
   ------------------------
   Added role "useradmin"
   ------------------------
   Role name: useradmin
   Description: User Administrator

2. Acrescente os privilégios necessários à função usando o comando ipa role-add-privilege:

   $ ipa role-add-privilege --privileges="user administrators" useradmin
   Role name: useradmin
   Description: User Administrator
   Privileges: user administrators
   ----------------------------
   Number of privileges added 1
   ----------------------------

3. Acrescentar os membros requeridos à função usando o comando ipa role-add-member. Os tipos de membros permitidos são: usuários, grupos, anfitriões e grupos de anfitriões.
   Por exemplo, para adicionar o grupo chamado useradmins à função anteriormente criada useradmin:

   $ ipa role-add-member --groups=useradmins useradmin
   Role name: useradmin
   Description: User Administrator
   Member groups: useradmins
   Privileges: user administrators
   -------------------------
   Number of members added 1
   -------------------------

Procedimento

1. Para adicionar uma nova permissão, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Permissions:

   

2. A lista de permissões é aberta: Clique no botão Add no topo da lista de permissões:

   

3. O formulário Add Permission é aberto. Especifique o nome da nova permissão e defina suas propriedades de acordo:

   

4. Selecione o tipo apropriado de regra Bind:

   • permission é o tipo de permissão padrão, concedendo acesso através de privilégios e funções
   • all especifica que a permissão se aplica a todos os usuários autenticados

   • anonymous especifica que a permissão se aplica a todos os usuários, incluindo usuários não autenticados

     Nota

     Não é possível acrescentar aos privilégios permissões com um tipo de regra de vinculação sem falta. Também não é possível definir uma permissão já presente em um privilégio para um tipo de regra de vinculação sem falta.

5. Escolha os direitos a conceder com esta permissão em Granted rights.

6. Definir o método para identificar as entradas alvo para a permissão:

   • Type especifica um tipo de entrada, como usuário, host, ou serviço. Se você escolher um valor para a configuração Type, uma lista de todos os atributos possíveis que serão acessíveis através deste ACI para esse tipo de entrada aparece em Effective Attributes. Definindo Type define os conjuntos Subtree e Target DN como um dos valores pré-definidos.
   • Subtree (obrigatório) especifica uma entrada de sub-árvore; cada entrada abaixo dessa sub-árvore é então direcionada. Forneça uma entrada de subárvore existente, pois Subtree não aceita wildcards ou nomes de domínio inexistentes (DNs). Por exemplo cn=automount,dc=example,dc=com
   • Extra target filter usa um filtro LDAP para identificar a quais entradas a permissão se aplica. O filtro pode ser qualquer filtro LDAP válido, por exemplo: (!(objectclass=posixgroup))
     IdM verifica automaticamente a validade do filtro dado. Se você inserir um filtro inválido, o IdM o avisa sobre isso quando você tenta salvar a permissão.
   • Target DN especifica o nome de domínio (DN) e aceita wildcards. Por exemplo uid=*,cn=users,cn=accounts,dc=com
   • Member of group estabelece o filtro alvo para os membros do grupo em questão. Depois de especificar as configurações do filtro e clicar em Add, o IdM valida o filtro. Se todas as configurações de permissão estiverem corretas, o IdM realizará a busca. Se algumas das configurações de permissões estiverem incorretas, o IdM exibirá uma mensagem informando sobre qual configuração está incorreta.

7. Acrescentar atributos à permissão:

   • Se você definir Type, escolha o Effective attributes da lista de atributos ACI disponíveis.

   • Se você não utilizou Type, adicione os atributos manualmente, escrevendo-os no campo Effective attributes. Adicione um único atributo de cada vez; para adicionar vários atributos, clique em Add para adicionar outro campo de entrada.

     Importante

     Se você não definir nenhum atributo para a permissão, então as permissões incluem todos os atributos por padrão.

8. Termine de acrescentar as permissões com os botões Add na parte inferior do formulário:

   • Clique no botão Add para salvar a permissão e voltar para a lista de permissões.
   • Alternativamente, você pode salvar a permissão e continuar adicionando permissões adicionais na mesma forma, clicando no botão Add and Add another
   • O botão Add and Edit permite que você salve e continue editando a permissão recém-criada.
9. Optional. Você também pode editar as propriedades de uma permissão existente clicando em seu nome na lista de permissões para exibir a página Permission settings.

10. Optional. Se você precisar remover uma permissão existente, clique no botão Delete uma vez marcada a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove permissions.

    Nota

    As operações sobre as permissões gerenciadas padrão são restritas: os atributos que você não pode modificar estão desativados na interface web do IdM e você não pode excluir completamente as permissões gerenciadas.
    Entretanto, você pode efetivamente desativar uma permissão gerenciada que tenha um tipo de vínculo definido para permissão, removendo a permissão gerenciada de todos os privilégios.

Procedimento

1. Para adicionar um novo privilégio, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Privileges:

   

2. A lista de privilégios é aberta. Clique no botão Add no topo da lista de privilégios:

   

3. O formulário Add Privilege é aberto. Digite o nome e uma descrição do privilégio:

   

4. Clique no botão Add and Edit para salvar o novo privilégio e continue até a página de configuração de privilégios para adicionar permissões.
5. Edite as propriedades dos privilégios clicando no nome dos privilégios na lista de privilégios. A página de configuração de privilégios é aberta.

6. A guia Permissions exibe uma lista de permissões incluídas no privilégio selecionado. Clique no botão Add no topo da lista para adicionar permissões ao privilégio:

   

7. Marque a caixa de seleção ao lado do nome de cada permissão para adicionar, e use o botão > para mover as permissões para a coluna Prospective:

   

8. Confirme clicando no botão Add.
9. Optional. Se você precisar remover permissões, clique no botão Delete depois de ter marcado a caixa de seleção ao lado da permissão relevante: o diálogo Remove privileges from permissions se abre.
10. Optional. Se você precisar excluir um privilégio existente, clique no botão Delete depois de marcar a caixa de seleção ao lado de seu nome na lista: o diálogo Remove privileges se abre.

Procedimento

1. Para adicionar um novo papel, abra o sub-menu Role-Based Access Control na aba IPA Server e selecione Roles:

   

2. A lista de papéis se abre. Clique no botão Add no topo da lista das instruções de controle de acesso baseadas em funções.

   

3. O formulário Add Role é aberto. Digite o nome da função e uma descrição:

   

4. Clique no botão Add and Edit para salvar a nova função e vá para a página de configuração de funções para adicionar privilégios e usuários.
5. Edite as propriedades dos papéis, clicando no nome dos papéis na lista de papéis. A página de configuração de funções é aberta.

6. Adicione membros usando as guias Users, Users Groups, Hosts, Host Groups ou Services, clicando no botão Add no topo da(s) lista(s) relevante(s).

   

7. Na janela que se abre, selecione os membros à esquerda e use o botão > para movê-los para a coluna Prospective.

   

8. Na parte superior da aba Privileges, clique em Add.

   

9. Selecione os privilégios à esquerda e use o botão > para movê-los para a coluna Prospective.

   

10. Clique no botão Add para salvar.
11. Optional. Se você precisar remover privilégios ou membros de uma função, clique no botão Delete depois de ter marcado a caixa de seleção ao lado do nome da entidade que você deseja remover. Um diálogo se abre.
12. Optional. Se você precisar remover uma função existente, clique no botão Delete depois de ter marcado a caixa de seleção ao lado de seu nome na lista, para exibir o diálogo Remove roles.

Procedimento

1. Criar uma nova visão de identificação. Por exemplo, para criar uma visualização de identificação chamada example_for_host1:

   $ ipa idview-add example_for_host1
   ---------------------------
   Added ID View "example_for_host1"
   ---------------------------
     ID View Name: example_for_host1

2. Adicione uma substituição de usuário à visualização de ID example_for_host1. Para anular o login do usuário:

   • Digite o comando ipa idoverrideuser-add
   • Adicionar o nome da vista de identificação
   • Adicionar o nome do usuário, também chamado de âncora

   • Adicione a opção --login:

     $ ipa idoverrideuser-add example_for_host1 idm_user --login=user_1234
     -----------------------------
     Added User ID override "idm_user"
     -----------------------------
       Anchor to override: idm_user
       User login: user_1234

     Para obter uma lista das opções disponíveis, execute ipa idoverrideuser-add --help.

     Nota

     O comando ipa idoverrideuser-add --certificate substitui todos os certificados existentes para a conta na visualização de ID especificada. Para anexar um certificado adicional, use o comando ipa idoverrideuser-add-cert em seu lugar:

     $ ipa idoverrideuser-add-cert example_for_host1 user --certificate="MIIEATCC..."

3. Opcional: Usando o comando ipa idoverrideuser-mod, você pode especificar novos valores de atributos para uma substituição de usuário existente.

4. Aplique example_for_host1 para o anfitrião host1.idm.example.com:

   $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
   -----------------------------
   Applied ID View "example_for_host1"
   -----------------------------
   hosts: host1.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 1
   ---------------------------------------------

   Nota

   O comando ipa idview-apply também aceita a opção --hostgroups. A opção aplica a visão ID aos anfitriões que pertencem ao grupo anfitrião especificado, mas não associa a visão ID com o próprio grupo anfitrião. Em vez disso, a opção --hostgroups expande os membros do grupo anfitrião especificado e aplica a opção --hosts individualmente a cada um deles.

   Isto significa que se um anfitrião for adicionado ao grupo anfitrião no futuro, a visão de identificação não se aplica ao novo anfitrião.

5. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

   1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:

   2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E

   3. Reinicie o daemon SSSD:

   root@host1 ~]# systemctl restart sssd

Procedimento

1. Como root, crie o diretório que você deseja que idm_user utilize em host1.idm.example.com como o diretório home do usuário:

   [root@host1 /]# mkdir /home/user_1234/

2. Alterar a propriedade do diretório:

   [root@host1 /]# chown idm_user:idm_user /home/user_1234/

3. Exibir a visualização de ID, incluindo os anfitriões aos quais a visualização de ID é aplicada atualmente. Para exibir a visualização de ID com o nome example_for_host1:

   $ ipa idview-show example_for_host1 --all
     dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
     ID View Name: example_for_host1
     User object override: idm_user
     Hosts the view applies to: host1.idm.example.com
     objectclass: ipaIDView, top, nsContainer

   A saída mostra que a visualização de identificação se aplica atualmente a host1.idm.example.com.

4. Modificar a substituição do usuário da visualização de ID example_for_host1. Substituir o diretório pessoal do usuário:

   • Digite o comando ipa idoverrideuser-add
   • Adicionar o nome da vista de identificação
   • Adicionar o nome do usuário, também chamado de âncora

   • Adicione a opção --homedir:

     $ ipa idoverrideuser-mod example_for_host1 idm_user --homedir=/home/user_1234
     -----------------------------
     Modified an User ID override "idm_user"
     -----------------------------
       Anchor to override: idm_user
       User login: user_1234
       Home directory: /home/user_1234/

   Para obter uma lista das opções disponíveis, execute ipa idoverrideuser-mod --help.

5. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

   1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:

   2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E

   3. Reinicie o daemon SSSD:

   root@host1 ~]# systemctl restart sssd

Etapas de verificação

1. SSH a host1 como idm_user:

   [root@r8server ~]# ssh idm_user@host1.idm.example.com
   Password:
   
   Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
   [user_1234@host1 ~]$

2. Imprimir o diretório de trabalho:

   [user_1234@host1 ~]$ pwd
   /home/user_1234/

Procedimento

1. Como root, crie o diretório que você deseja que idm_user utilize em host1.idm.example.com como o diretório home do usuário:

   [root@host1 /]# mkdir /home/user_1234/

2. Alterar a propriedade do diretório:

   [root@host1 /]# chown idm_user:idm_user /home/user_1234/

3. Criar uma visualização de identificação. Por exemplo, para criar uma visualização de identificação com o nome example_for_host1:

   $ ipa idview-add example_for_host1
   ---------------------------
   Added ID View "example_for_host1"
   ---------------------------
     ID View Name: example_for_host1

4. Adicione uma substituição de usuário à visualização de ID example_for_host1. Para substituir o diretório pessoal do usuário:

   • Digite o comando ipa idoverrideuser-add
   • Adicionar o nome da vista de identificação
   • Adicionar o nome do usuário, também chamado de âncora
   • Adicione a opção --homedir:

   $ ipa idoverrideuser-add example_for_host1 idm_user --homedir=/home/user_1234
   -----------------------------
   Added User ID override "idm_user"
   -----------------------------
     Anchor to override: idm_user
     Home directory: /home/user_1234/

5. Aplique example_for_host1 para o anfitrião host1.idm.example.com:

   $ ipa idview-apply example_for_host1 --hosts=host1.idm.example.com
   -----------------------------
   Applied ID View "example_for_host1"
   -----------------------------
   hosts: host1.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 1
   ---------------------------------------------

   Nota

   O comando ipa idview-apply também aceita a opção --hostgroups. A opção aplica a visão ID aos anfitriões que pertencem ao grupo anfitrião especificado, mas não associa a visão ID com o próprio grupo anfitrião. Em vez disso, a opção --hostgroups expande os membros do grupo anfitrião especificado e aplica a opção --hosts individualmente a cada um deles.

   Isto significa que se um anfitrião for adicionado ao grupo anfitrião no futuro, a visão de identificação não se aplica ao novo anfitrião.

6. Para aplicar a nova configuração ao sistema host1.idm.example.com imediatamente:

   1. SSH para o sistema como raiz:

      $ ssh root@host1
      Password:

   2. Limpar o cache SSSD:

      root@host1 ~]# sss_cache -E

   3. Reinicie o daemon SSSD:

   root@host1 ~]# systemctl restart sssd

Etapas de verificação

1. SSH a host1 como idm_user:

   [root@r8server ~]# ssh idm_user@host1.idm.example.com
   Password:
   Activate the web console with: systemctl enable --now cockpit.socket
   
   Last login: Sun Jun 21 22:34:25 2020 from 192.168.122.229
   [idm_user@host1 /]$

2. Imprimir o diretório de trabalho:

   [idm_user@host1 /]$ pwd
   /home/user_1234/

1. Como criar um grupo anfitrião e adicionar anfitriões a ele.
2. Como aplicar uma visão de identificação ao grupo anfitrião.
3. Como adicionar um novo anfitrião ao grupo anfitrião e aplicar a visão de identificação ao novo anfitrião.

Procedimento

1. Criar um grupo anfitrião e adicionar anfitriões a ele:

   1. Criar um grupo anfitrião. Por exemplo, para criar um grupo anfitrião chamado baltimore:

      [root@master ~]# ipa hostgroup-add --desc="Baltimore hosts" baltimore
      ---------------------------
      Added hostgroup "baltimore"
      ---------------------------
      Host-group: baltimore
      Description: Baltimore hosts

   2. Acrescentar anfitriões ao grupo anfitrião. Por exemplo, para adicionar o host102 e host103 ao grupo anfitrião baltimore:

      [root@master ~]# ipa hostgroup-add-member --hosts={host102,host103} baltimore
      Host-group: baltimore
      Description: Baltimore hosts
      Member hosts: host102.idm.example.com, host103.idm.example.com
      -------------------------
      Number of members added 2
      -------------------------

2. Aplicar uma visão de identificação aos anfitriões do grupo anfitrião. Por exemplo, para aplicar a visualização de ID example_for_host1 ao grupo anfitrião baltimore:

   [root@master ~]# ipa idview-apply --hostgroups=baltimore
   ID View Name: example_for_host1
   -----------------------------------------
   Applied ID View "example_for_host1"
   -----------------------------------------
     hosts: host102.idm.example.com, host103.idm.example.com
   ---------------------------------------------
   Number of hosts the ID View was applied to: 2
   ---------------------------------------------

3. Adicione um novo anfitrião ao grupo anfitrião e aplique a visão de identificação ao novo anfitrião:

   1. Acrescentar um novo anfitrião ao grupo anfitrião. Por exemplo, para adicionar o anfitrião somehost.idm.example.com ao grupo anfitrião baltimore:

      [root@master ~]# ipa hostgroup-add-member --hosts=somehost.idm.example.com baltimore
        Host-group: baltimore
        Description: Baltimore hosts
        Member hosts:  host102.idm.example.com, host103.idm.example.com,somehost.idm.example.com
      -------------------------
      Number of members added 1
      -------------------------

   2. Opcionalmente, exibir as informações de visualização de identificação. Por exemplo, para exibir os detalhes sobre a visualização da ID example_for_host1:

      [root@master ~]# ipa idview-show example_for_host1 --all
        dn: cn=example_for_host1,cn=views,cn=accounts,dc=idm,dc=example,dc=com
        ID View Name: example_for_host1
      [...]
        Hosts the view applies to: host102.idm.example.com, host103.idm.example.com
        objectclass: ipaIDView, top, nsContainer

      A saída mostra que a visão de identificação não é aplicada a somehost.idm.example.com, o recém-adicionado anfitrião no grupo anfitrião baltimore.

   3. Aplique a visão de identificação ao novo anfitrião. Por exemplo, para aplicar a visualização de ID example_for_host1 para somehost.idm.example.com:

      [root@master ~]# ipa idview-apply --host=somehost.idm.example.com
      ID View Name: example_for_host1
      -----------------------------------------
      Applied ID View "example_for_host1"
      -----------------------------------------
        hosts: somehost.idm.example.com
      ---------------------------------------------
      Number of hosts the ID View was applied to: 1
      ---------------------------------------------

Procedimento

1. Entrar como administrador da IdM:

   $ parentes admin

2. Criar um usuário chamado provisionator com os privilégios de adicionar usuários de palco.

   1. Adicionar a conta de usuário do provisionador:

   $ ipa usuário-adicionador de provisão --first=provisionamento --last=conta --palavra-palavra

   1. Conceder ao usuário do provisionador os privilégios necessários.

      1. Criar uma função personalizada, System Provisioning, para gerenciar a adição de usuários de palco:

         $ ipa role-add --desc "Responsável pelos usuários da fase de provisionamento" "Provisionamento do sistema"

      2. Acrescente o privilégio Stage User Provisioning ao papel. Este privilégio proporciona a capacidade de adicionar usuários de palco:

         $ ipa role-add-privilege" --privileges="Stage User Provisioning"

      3. Adicionar o usuário provisionador à função:

         $ ipa role-add-member --usuários=provisionador {\i1}"System Provisioning

      4. Verificar se o provisionador existe na IdM:

      $ ipa user-find provisionator --all --raw
      --------------
      1 user matched
      --------------
        dn: uid=provisionator,cn=users,cn=accounts,dc=idm,dc=example,dc=com
        uid: provisionator
        [...]

3. Criar um usuário, activator, com os privilégios de gerenciar contas de usuário.

   1. Adicionar a conta do usuário ativador:

      $ ipa ativador-adicionado pelo usuário --first=ativação --last=conta --palavra-palavra

   2. Conceder ao usuário ativador os privilégios necessários, adicionando o usuário à função padrão User Administrator:

      $ ipa role-add-member --usuários=ativador {\i1}"Administrador de usuários

4. Criar um grupo de usuários para contas de aplicação:

   Contas de aplicação de $ ipa group-add

5. Atualizar a política de senhas para o grupo. A seguinte política impede a expiração e bloqueio da conta por senha, mas compensa os riscos potenciais ao exigir senhas complexas:

   $ ipa pwpolicy-add application-accounts --maxlife=10000 --minlife=0 --história=0 --minclasses=4 --minlength=8 --priority=1 --maxfail=0 --failinterval=1 --lockouttime=0

6. (Opcional) Verificar se a política de senha existe na IdM:

   $ ipa pwpolicy-show application-accounts
     Group: application-accounts
     Max lifetime (days): 10000
     Min lifetime (hours): 0
     History size: 0
   [...]

7. Adicionar as contas de provisionamento e ativação ao grupo para contas de aplicação:

   $ ipa grupo-add-member application-accounts --usuários={provisionador,ativador}

8. Alterar as senhas para as contas dos usuários:

   $ kpasswd provisionator
   $ kpasswd activator

   A mudança das senhas é necessária porque as novas senhas de usuários IdM expiram imediatamente.

Procedimento

1. Gerar um arquivo keytab para a conta de ativação:

   # ipa-getkeytab -s server.idm.example.com -p "activator" -k /etc/krb5.ipa-activation.keytab

   Se você quiser habilitar o processo de ativação em mais de um servidor IdM, gere o arquivo keytab em apenas um servidor. Depois copie o arquivo keytab para os outros servidores.

2. Criar um script, /usr/local/sbin/ipa-activate-all, com o seguinte conteúdo para ativar todos os usuários:

   #!/bin/bash
   
   kinit -k -i activator
   
   ipa stageuser-find --all --raw | grep "  uid:" | cut -d ":" -f 2 | while read uid; do ipa stageuser-activate ${uid}; done

3. Edite as permissões e a propriedade do script ipa-activate-all para torná-lo executável:

   # chmod 755 /usr/local/sbin/ipa-activate-all
   # chown root:root /usr/local/sbin/ipa-activate-all

4. Criar um arquivo systemd unit file, /etc/systemd/system/ipa-activate-all.service, com o seguinte conteúdo:

   [Unit]
   Description=Scan IdM every minute for any stage users that must be activated
   
   [Service]
   Environment=KRB5_CLIENT_KTNAME=/etc/krb5.ipa-activation.keytab
   Environment=KRB5CCNAME=FILE:/tmp/krb5cc_ipa-activate-all
   ExecStart=/usr/local/sbin/ipa-activate-all

5. Criar um temporizador systemd, /etc/systemd/system/ipa-activate-all.timer, com o seguinte conteúdo:

   [Unit]
   Description=Scan IdM every minute for any stage users that must be activated
   
   [Timer]
   OnBootSec=15min
   OnUnitActiveSec=1min
   
   [Install]
   WantedBy=multi-user.target

6. Recarregar a nova configuração:

   # systemctl daemon-reload

7. Habilitar ipa-activate-all.timer:

   # systemctl habilita ipa-activate-all.timer

8. Iniciar ipa-activate-all.timer:

   # systemctl start ipa-activate-all.timer

9. (Opcional) Verifique se o daemon ipa-activate-all.timer está funcionando:

   # systemctl status ipa-activate-all.timer
   ● ipa-activate-all.timer - Scan IdM every minute for any stage users that must be activated
      Loaded: loaded (/etc/systemd/system/ipa-activate-all.timer; enabled; vendor preset: disabled)
      Active: active (waiting) since Wed 2020-06-10 16:34:55 CEST; 15s ago
     Trigger: Wed 2020-06-10 16:35:55 CEST; 44s left
   
   Jun 10 16:34:55 server.idm.example.com systemd[1]: Started Scan IdM every minute for any stage users that must be activated.

Procedimento

1. No servidor externo, crie um arquivo LDIF que contenha informações sobre o novo usuário:

   dn: uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com
   changetype: add
   objectClass: top
   objectClass: inetorgperson
   uid: stageidmuser
   sn: surname
   givenName: first_name
   cn: full_name

2. Transferir o arquivo LDIF do servidor externo para o servidor IdM:

   $ scp add-stageidmuser.ldif provisionator@server.idm.example.com:/provisionator/
   Password:
   add-stageidmuser.ldif                                                                                          100%  364   217.6KB/s   00:00

3. Use o protocolo SSH para conectar-se ao servidor da IdM como provisionator:

   $ ssh provisionator@server.idm.example.com
   Password:
   [provisionator@server ~]$

4. No servidor da IdM, obtenha o ticket de concessão de bilhetes Kerberos (TGT) para a conta do provisionador:

   [provisionador@servidor ~]$ parente provisionador

5. Digite o comando ldapadd com a opção -f e o nome do arquivo LDIF. Especifique o nome do servidor IdM e o número da porta:

   ~]$ ldapadd -h server.idm.example.com -p 389 -f  add-stageidmuser.ldif
   SASL/GSSAPI authentication started
   SASL username: provisionator@IDM.EXAMPLE.COM
   SASL SSF: 256
   SASL data security layer installed.
   adding the entry "uid=stageidmuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"

Procedimento

1. Use o protocolo SSH para conectar-se ao servidor IdM usando sua identidade e credenciais IdM:

   $ ssh provisionator@server.idm.example.com
   Password:
   [provisionator@server ~]$

2. Obter o TGT da conta provisionator, um usuário IdM com um papel para adicionar novos usuários em palco:

   Provisor de parentesco

3. Digite o comando ldapmodify e especifique Generic Security Services API (GSSAPI) como o mecanismo de Autenticação Simples e Camada de Segurança (SASL) a ser usado para autenticação. Especifique o nome do servidor IdM e a porta:

   # ldapmodify -h server.idm.example.com -p 389 -Y GSSAPI
   SASL/GSSAPI authentication started
   SASL username: provisionator@IDM.EXAMPLE.COM
   SASL SSF: 56
   SASL data security layer installed.

4. Digite o dn do usuário que você está adicionando:

   dn: uid=usuário de palco,cn=usuário de palco,cn=contas,cn=provisionamento,dc=idm,dc=exemplo,dc=com

5. Digite add como o tipo de mudança que você está realizando:

   tipo de mudança: adicionar

6. Especificar as categorias de classe de objetos LDAP necessárias para permitir o processamento correto do ciclo de vida do usuário:

   objectClass: top
   objectClass: inetorgperson

   Você pode especificar classes de objetos adicionais.

7. Entre no site uid do usuário:

   uid: usuário de palco

8. Entre no site cn do usuário:

   cn: Babs Jensen

9. Digite o sobrenome do usuário:

   sn: Jensen

10. Pressione Enter novamente para confirmar que este é o fim da entrada:

    [Enter]
    
    adding new entry "uid=stageuser,cn=staged users,cn=accounts,cn=provisioning,dc=idm,dc=example,dc=com"

11. Sair da conexão usando Ctrl C .